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内 容 提 要 


本 书 是 华为 ICT 学 院 路 由 与 交换 技术 官方 教材 ， 旨 在 帮助 读者 理解 和 掌握 在 实际 工作 中 第 见 技术 


的 原理 和 操作 方法 。 


第 1 章 介绍 了 企业 网 的 架构 、 设 计 与 发 展 趋势 。 在 后 面 各 章 中 ， 会 分 别 介绍 各 类 网 络 元 余 技 术 、 
访问 控制 列表 的 使 用 、 网 络 地 址 转换 技术 的 配置 、 各 类 广域网 技术 的 原理 与 配置 、DHCP 的 原理 以 及 
DHCP 服务 器 和 中 继 的 配置 、IPv6 原理 与 IPv6 路 由 、 重 要 的 网 络 安全 技术 、 无 线 技术 的 概述 以 及 网 络 


常理 协议 相关 的 知识 。 


除 华为 ICT 学 院 的 学 生 之 外 , 本 书 同样 适合 正在 备考 HCNA 认证 或 者 正在 参加 HCNA 技术 培训 的 
人 士 进行 阅读 和 参考 。 其 他 有 志 从 事 ICT 行业 的 初级 人 员 和 网 络 技术 爱好 者 也 可 以 通过 阅读 本 书 ， 加 深 


对 网 络 技术 的 理解 。 
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物 联网 、 云 计算 、 大 数据 、 人 工 智能 等 新 技术 的 兴起 ， 推 动 看 社会 的 数字 化 演进 。 
全 球 正在 从 “人 人 互联 ”发 展 至 “万 物 互联 ” 未 来 二 各 十 年 ， 人 类 社会 将 演变 成 以 “万 
物 感知 、 万 物 互联 、 万 物 智能 ”为 特征 的 智能 社会 。 

新 兴 技 术 快速 渗透 并 推 魂 企业 加 速 问 数字 化 转型 ， 企 业 业 务 应 用 系统 赵 于 横 丫 趴 
通 ， 数 据 趋 于 融合 互联 ，ICT 正在 成 为 企业 新 一 代 公共 基础 设施 和 创新 引擎 ， 成 为 企业 
的 核心 生产 力 。 华 为 GIV (全 球 ICT 产业 愿景 ) 预测 ， 到 2025 年 ， 全 球 的 联接 数 将 达到 
1 000 亿 ，85% 的 企业 应 用 云 计 算 技 术 ，100% 的 企业 会 联接 云 服务 ， 工 业 智 能 的 普及 率 将 
超过 20%。 数 字 化 发 展 为 各 行业 带 来 的 纵深 影响 远 超出 想象 。 

ICT 人 才 作 为 企业 数字 化 转型 中 的 关键 使 能 者 ， 将 站 在 更 新 的 高 度 ， 以 更 为 全 局 的 
视角 审视 整个 行业 ， 并 依靠 新 思想 、 新 技术 驱动 行业 发 展 。 因 此 ， 企 业 对 于 融合 型 ICT 
人 才 需 求 也 更 为 迫切。 未 来 5 年 ， 华 为 领导 的 全 球 ICT 产业 生态 系统 对 人 才 的 需求 将 超 
过 80 万 。 华 为 积累 了 20 余年 的 ICT 人 才 培 养 经 验 ， 对 ICT 行业 发 展现 状 及 趋势 有 痢 深 
刻 的 理解 。 面 对 数字 化 转型 背景 下 企业 ICT 人 才 短 缺 的 情况 ， 华 为 致力 于 构建 良性 ICT 
人 才 生 态 链 。2013 年 ， 华 为 开始 与 高 校 合 作 ， 共 同 制订 ICT 人 才 培 养 计 划 ， 设 立 华为 信 
息 与 网 络 技术 学 院 〈 简 称 华 为 ICT 学 院 )， 依 据 企 业 对 ICT 人 才 的 新 需求 ,将 物 联 网 、 云 
计算 、 大 数据 等 新 技术 和 最 佳 实践 经 验 融入 到 课程 与 教学 中 。 华 为 希望 通过 校 企 合作 ， 
让 大 学 生 在 校园 内 就 能 掌握 新 技术 , 并 积累 实践 经 验 , 促使 他 们 快速 成 长 为 有 应 用 能 力 、 
会 复合 创新 、 能 动态 成 长 的 融合 型 人 才 。 

教材 是 知识 传递 、 人才 培养 的 重要 载体 , 华为 聚合 技术 专家 、 高 校 教师 倾心 打造 ICT 
学 院 系列 精品 教材 ， 希 望 能 帮助 大 学 生 快 速 完成 知识 积累 ， 现 定 坚 实 的 理论 基础 ， 助 力 
同学 们 更 好 地 开启 ICT 职业 道路 ， 奔 向 更 美好 的 未 来 。 

亲爱 的 同学 们 ， 面 对 新 时 代 对 ICT 人 才 的 呼唤 ， 请 抓 住 历史 机 遇 ， 拥 抱 精彩 的 ICT 
时 代 ， 书 写 未 来 职业 的 光荣 与 梦想 吧 ! 华为 ， 将 始终 与 你 同行 ! 
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华为 ICT 学 院 路 由 与 交换 技术 官方 教材 分 为 3 册 ， 是 华为 技术 有 限 公司 、YESLAB 
培训 中 心 和 高 校 专 家 ， 针 对 华为 ICT 学 院 的 学 生 推 民 的 诚意 之 作 。 教 材 的 大 纲 结构 到 
文字 描述 由 业内 专家 执笔 ， 内 容 更 由 多 方 顶 级 专家 反复 论证 推 项 。 

本 书 定位 的 人 群 为 学 习 示 《网络 基 础 》《 路 由 与 交换 技术 》， 参 加 过 华为 HCNA 或 同 
等 级 课程 的 学 习 , 或 掌握 了 一 定 程 度 的 网 络 技术 知识 及 华为 VRP 系统 的 操作 使 用 方法 ， 
希望 能 够 在 此 基础 上 继续 学 习 并 掌握 关于 IPv6、 无 线 、 宛 余 、 安 全 等 技术 的 读者 。 特 
别 值得 一 提 的 是 ， 由 于 本 书 的 内 容 主 要 针对 企业 网 络 中 的 常用 技术 ， 因 此 本 书 不 仅 适 
合 有 志 成 为 网 络 工程 师 的 人 员 ， 同 样 适 合 希 瘟 成 为 系统 工程 师 的 人 员 参 阅 。 

本 书 第 1 章 概述 了 企业 网 络 的 分 层 设 计 原 则 。 此 后 各 章 则 分 别 介绍 了 完 余 性 技术 、 不 
同类 型 的 访问 控制 列表 、 网 络 地 址 转换 技术 、 广 域 网 连接 技术 、DHCP 协议 的 原理 与 (其 在 
VRP 系统 中 的 ) 配置 方法 、IPv6 协议 原理 与 IPv6 路 由 技术 、AAA 与 IPSec、 无 线 局 域 网 技术 
和 网 络 管理 技术 。 第 1 章 介绍 的 内 容 涵盖 了 目前 在 企业 网 络 中 部 署 最 为 广泛 的 网 络 技术 , 学 
习 并 掌握 这 些 技术 的 原理 和 实施 方法 是 成 为 网 络 技术 人 员 的 基本 条 件 。 

本 书 自 第 2 章 开 始 的 各 章 ， 除 第 7 章 (IPv6 基础 ) 和 第 8 章 (IPv6 路 由 ) 之 间 存 
在 逻辑 上 的 先后 关系 之 外 ， 其 余 章节 均 相 互 独立 ， 不 存在 先后 顺序 关系 。 因 此 ， 读 者 
和 教师 完全 可 以 根据 自己 的 工作 、 学 习 和 教学 需求 自由 组 织 顺 序 。 


本 书 主要 内 容 


本 书 共 分 为 11 章 ， 其 中 第 1 章 从 总 体 上 介绍 企业 网 络 的 分 层 设 计 模 型 ， 其 余 各 章 
则 分 别 从 不 同 的 角度 介绍 当下 企业 网 络 中 常用 的 技术 。 

第 1 章 : 企业 网 概述 

本 章 首 先 对 比 传统 的 办 公 方 式 ， 介 绍 部 署 企业 网 络 给 企业 带 来 的 各 种 利好 。 接 下 来 
在 介绍 企业 网 设计 方案 时 , 本章 从 平面 设计 方式 不 利于 大 规模 企业 网 络 通信 的 角度 切入 ， 
由 此 引入 企业 网 的 分 层 设计 模型 ， 并 且 在 接 下 来 的 内 容 中 详细 介绍 分 层 模型 中 各 层 的 功 
能 ， 以 及 适合 在 各 层 部 普 的 技术 。 最 后 ， 本 章 对 企业 网 的 未 来 发 展 进行 简单 的 展望 。 

第 2 章 : 网 络 可 靠 性 

本 草 自 先 对 BFD 的 原理 进行 介绍 ， 这 项 技术 主要 着 眼 于 检测 通信 是否 正常 。 之 后 


高 级 网 络 技术 


本 章 介绍 两 种 通过 元 余 提 高 网 络 可 靠 性 的 技术 : VRRP 和 链 路 聚合 。 前 者 旨 在 为 企业 网 中 
的 终端 提供 网 关 的 元 余 ; 后 者 则 规避 了 生成 树 协 议 阻 塞 元 余 端口 的 做 法 ， 通 过 捆绑 平行 
链 路 的 方式 让 宛 余 端口 参与 数据 转发 ， 让 交换 机 之 间 能 够 通过 多 条 平行 链 路 转发 数据 。 

第 3 章 : 访问 控制 列表 

本 章 对 访问 控制 列表 技术 进行 详细 介绍 。 首 先 对 访问 控制 列表 的 用 途 进行 介绍 ， 
并 且 由 此 进一步 对 路 由 器 通过 访问 控制 列表 过 滤 / 匹 配 流量 的 逻辑 方式 ， 以 及 访问 控制 
列表 的 应 用 方向 等 概念 进行 解释 说 明 。 之 后 ， 本 章 演 示 如 何在 VRP 系统 中 创建 和 应 用 
基本 ACL 与 高 级 ACL 两 类 访问 控制 列表 。 

第 4 章 : 网 络 地 址 转换 

本 章 会 围绕 网 络 地 址 转换 (NAT) 技术 进行 介绍 。 首 先 对 NAT 的 必要 性 、 路 由 器 执 
行 网 络 地 址 转发 的 操作 方法 和 NAT 的 分 类 进行 一 一 说 明 。 接 下 来 ， 本 章 对 几 类 NAT 在 
华为 路 由 设备 上 的 配置 方法 分 别 进行 演示 。 

第 5 章 : 广域网 

本 章 介 绍 了 几 种 常见 的 广域网 连接 技术 。 首 先 概述 了 广域网 技术 ， 并 且 对 HDLC 这 
个 简单 连接 协议 的 原理 ， 及 其 在 华为 设备 上 的 实施 方法 进行 简单 说 明 。 接 下 来 ， 本 章 
对 PPP 协议 的 原理 、PPP 协议 提供 的 两 种 认证 方式 的 原理 分 别 进 行 详细 的 介绍 ,并 且 演 
示 如 何在 华为 路 由 设备 上 配置 PPP 协议 连接 及 认证 。 最 后 ， 本 章 会 在 PPP 和 
上 ， 对 PPPoE 的 原理 进行 阐述 ， 并 且 演 示 PPPoE 的 配置 方法 。 

第 6 章 : DHCP 协议 

本 章 对 《网 络 基础 》 中 曾经 进行 简单 介绍 的 DHCP 进行 详细 全 面 的 介绍 。 首 先 ， 我 
们 会 从 一 台 “《 未 配置 IP 地 址 的) 终端 连接 到 一 个 包含 DHCP 服务 器 的 局 域 网 中 开始 ， 按 
照 DHCP 定义 的 消 县 类 型 逐步 介绍 这 套 设 备 如 何 通 过 DHCP 获取 、 续 租 IP 地 址 及 其 他 相关 
参数 。 接 下 来 ， 我 们 对 DHCP 服务 器 不 在 局 域 网 本 地 时 ， 由 其 他 设备 代理 转发 DHCP 消息 
的 工作 方式 进行 介绍 。 最 后 ， 我 们 分 别 演示 如 何 将 一 台 华为 设备 配置 为 DHCP 服务 器 和 
DHCP 中 继 。 守 

第 7 章 : IPv6 基础 

本 章 的 重点 在 于 IPv6 协议 自 三 的 规范 ， 包 括 IPv6 协议 提出 的 背景 、IPv6 协议 定义 的 
数据 包 封 装 格式 、IPv6 协议 定义 的 编 址 方式 ， 以 及 IPv6 地 址 的 分 类 。 除 了 IPv6 协议 之 外 ， 
本 章 也 对 IPv6 环境 中 用 来 完成 地 址 解析 和 无 状态 地 址 自动 配置 的 NDP 进行 了 介绍 。 

第 8 章 : IPv6 路 由 

本 章 延 续 第 7 章 的 内 容 ， 继 续 对 IPv6 的 网 络 环境 进行 介绍 ， 但 本 章 将 重点 转移 到 
IPv6 路 由 的 相关 内 容 。 在 本 章 中 ，IPv6 静态 路 由 、 默 认 路 由 和 汇总 路 由 在 VRP 系统 中 
的 配置 方式 一 一 都 会 得 到 演示 。 此 外 ， 本 章 还 会 对 RIPng 和 0SPFv3 两 种 IPv6 路 由 协 
议 的 原理 和 配置 方法 进行 简单 说 明 。 
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第 9 章 : 网 络 安全 技术 

本 章 重 点 介绍 了 AAA 和 IPSec 两 种 与 网 络 安全 相关 的 技术 。AAA 是 认证 、 授 权 和 审 
计 的 总 称 ， 本章 的 重点 在 于 介绍 被 管理 设备 与 AAA 服务 器 之 间 通 信 时 应 用 的 RADIUS 协 
议 , 以 及 如 何 通过 VRP 系统 配置 AAA 中 的 认证 与 授权 。IPSec 是 一 个 比较 复杂 的 协议 框 
架 ， 本 章 会 对 这 个 协议 框架 涉及 的 内 容 进行 相对 深入 的 理论 演绎 ， 并 提供 IPSec VPN 
的 配置 案例 。 最 后 ， 本 章 对 用 于 保障 网 络 安全 性 的 技术 进行 相对 概括 的 说 明 。 

第 10 章 : WLAN 技术 - 

本 章 的 重点 是 无 线 局 域 网 相关 技术 的 说 明 。 本 章 部 先 对 无 线 通信 的 由 来 、 原 理 与 
标准 进行 了 简单 的 介绍 说 明 ; 接 下 来 将 重点 转移 到 了 无 线 局 域 网 当中 , 并 且 逐 一 对 WLAN 
中 的 数据 帧 封装 结构 ， 设 备 通信 的 过 程 、 安 全 隐患 ， 以 及 安全 防护 措施 进行 了 简单 的 
介绍 ; 最 后 通过 一 个 《相对 复杂 的 ) 瘦 AP 无 线 案 例 ， 介 绍 了 无 线 局 域 网 的 实施 方法 。 

第 11 章 : 网 络 管理 

本 章 对 网 络 管理 相关 的 知识 进行 了 说 明 。 我 们 首先 对 简单 网 络 管理 协议 (SNMP) 
的 原理 及 其 各 个 版 本 之 间 的 异同 进行 了 介绍 ， 并 且 对 SNMP 的 配置 进行 了 演示 ; 接 下 来 
对 用 于 维护 网 络 设备 时 间 准 确 性 的 NTP 进行 了 原理 阐述 和 实验 演示 最 后 对 图 形 化 网 
络 管理 平台 e-Sight 的 优势 进行 了 简要 的 说 明 。 


本 书 配 套 资源 


从 理论 到 实战 为 高 校 提供 贴 合 实际 应 用 的 定制 化 教学 学 习 资 源 。 

。 实验 手册 : 教材 配套 实验 材料 ， 助 力 读 者 动手 能 力 的 提升 ， 以 实验 促进 读者 对 
理论 知识 的 理解 。 

。 视频 讲解 : 教材 配套 重点 知识 讲解 小 视频 ， 帮 助 读者 更 好 地 理解 书 中 的 重点 、 
难点 ， 相 关 视 频 可 到 华为 ICT 学 院 官 方 网 站 进行 观看 。 

。 授课 PPT: 教材 配套 授课 材料 ， 方 便 高 校 授课 ， 提 升 教师 备课 效率 。 

。 综合 实验 : 教材 配套 综合 练习 课程 ， 注 重 知 识 间 的 关联 性 ， 提 升 读 者 综合 运用 
知识 的 能 

。 综合 实 训 : 教材 配套 实 训 课 程 ， 还 原 真 实 项 目 ， 提 升 读者 应 对 实际 项 目的 能 力 。 


关于 本 书 读者 

本 书 的 定位 是 华为 ICT 学 院 路 由 与 交换 技术 官方 教材 。 本 书 适合 于 以 下 几 类 读者 。 
。 华 为 ICT 学 院 的 学 生 。 

e。 各 大 高 校 学 生 。 

e 正在 学 习 HCNA 课程 的 学 员 和 正在 备考 HCNA 认证 的 考生 。 
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e。 有 志 于 从 事 ICT 行业 的 初学 者 。 
e 了 网络 技 术 爱 好 者 。 


本 书 阅 读 说 明 


读者 在 阅读 本 书 的 过 程 中 ， 尤 其 是 教师 在 使 用 本 书 作为 教材 的 过 程 中 ， 需 要 注意 

i 
.本 书 多 处 把 路 由 器 或 计算 机 上 的 网 络 适 配器 连接 口 称 为 “接口 ?>， 把 交换 机 上 

A 在 平时 的 交流 中 ,“ 接 口 ” 
一 词 与 “端口 ”一 词 完 全 可 以 混用 。 

2. 在 华为 公司 的 作品 中 ， 串 行 链 路 常用 虚线 表示 ， 以 太 链 路 而 以 实 线 表 示 。 本 书 中 所 
有 链 路 一 概 用 实 线 表示 ， 虚 线 在 各 图 中 做 特殊 表意 使 用 ， 如 数据 包 前 进 路 线 、 区 域 范 围 等 。 

3. 本 书 学 习 目 标 中 要 求 读者 了 解 的 内 容 ， 读 者 只 需 了 解 对 应 的 概念 及 其 表意 ; 本 书 
学 习 目 标 中 要 求 读 者 理解 的 内 容 , 读者 应 把 握 其 工作 原理 , 做 到 既 知 其 然 , 也 知 其 所 以 然 ; 
本 书 学 习 目 标 中 要 求 读者 掌握 的 内 容 ， 读 者 还 应 在 理解 的 基础 上 有 能 力 对 其 灵活 运用 。 

本 书 常用 图 标 


接 入 层 交 换 机 。 ”汇聚 层 交 换 机 核心 层 交换 机 接 入 点 (AP) 无 线 控制 器 
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随 着 时 代 的 发 展 ， 数 字 办 公 已 经 不 再 是 一 种 时 尚 的 办 公 方 式 ， 而 日 渐 成 为 各 行 各 业 
办 公 的 标 配 。 为 了 提升 办 公 效 率 ， 改 善 办 公 环 境 ， 优 化 人 际 合作 ， 降 低 通信 成 本 ， 自 20 
世纪 90 年 代 开始 ， 各 类 企业 纷纷 搭建 起 了 自己 的 办 公 网 络 ， 并 且 将 它们 接 入 了 互联 网 。 

当然 ， 企 业 网 并 不 是 一 种 网 络 技 术 的 代称 ， 这 个 概念 也 没有 十 分 严格 的 界定 。 实 际 
上 ， 任 何 企 事业 单位 搭建 起 来 用 以 共享 内 部 信息 资源 的 计算 机 网 络 都 可 以 粗略 地 划分 到 
企业 网 的 范畴 。 所 以 ， 在 这 一 章 中 ， 我 们 主要 谈论 的 并 不 是 网 络 的 技术 层面 ， 而 更 侧重 
于 介绍 网 络 架构 。 

在 工 工 节 中 ， 我 们 会 首先 带领 读者 思考 企业 网 给 办 公 带 来 的 效率 提升 都 体现 在 了 哪 
些 方面 ， 因 为 了 解 企业 网 相 比 于 传统 办 公 环 境 的 优势 有 助 于 读者 在 现实 工作 中 进一步 对 
接 用 户 的 实际 使 用 需求 。 

1. 2 节 是 本 章 的 重点 ， 在 1. 2 节 中 ， 我 们 会 对 在 设计 当中 最 为 常见 的 三 层 企业 网 模 
型 逐 层 进行 介绍 。 我 们 不 仅 会 解释 按照 分 层 模型 规划 企业 网 的 好 处 ， 同 时 也 会 介绍 各 层 
在 企业 网 中 应 该 承担 的 作用 ， 以 及 工程 师 应 该 在 各 层 中 部 署 哪些 网 络 技术 。 

1. 3 节 会 浅 谈 一 些 正在 企业 圆 中 迅猛 发 展 的 新 兴 技 术 和 趋势 在 本 书 的 读者 走向 企 
业 之 时 ， 这 些 新 兴 技 术 应 该 已 经 发 展 得 十 分 成 熟 。 本 书 抛砖引玉 ， 意 在 提醒 读者 在 校 
期 间 不 妨 留 意 这 些 技术 的 发 展 动态 。 本 书 是 华为 ICT 学 院 路 由 交换 技术 系列 教材 的 最 
后 一 册 ， 我 们 也 推荐 读者 在 完成 这 部 分 的 学 习 之 后 ， 能 够 继续 通过 各 种 渠道 深入 学 
习 这 些 新 兴 技 术 。 这 既 可 以 帮助 那些 希望 毕业 后 立刻 进入 职场 的 读者 在 择业 和 就 业 
时 占据 更 加 有 利 的 位 置 ， 又 可 以 帮助 那些 渴望 继续 深造 的 读者 提前 了 解 自己 在 攻读 
更 高 一 级 学 位 时 ， 对 研究 哪些 课题 更 感 兴趣 ， 研 究 哪些 课题 更 有 可 能 获得 更 加 宽广 
的 发 展 空间 。 


5 了 。 了解 企 业 网 的 三 层 模型 ; 

了 了。 理解 应 该 按照 三 层 模型 规划 企业 网 的 原因 ; 

:y。 掌握 企业 网 三 层 模型 中 各 层 的 作用 ; 

)。 了 解 在 部 署 企业 网 时 ， 应 该 将 哪些 技术 部 署 在 企业 网 的 哪 一 层 中 ; 
e。 了 解 企业 网 的 新 兴 需 求 及 发 展 趋势 。 


四 
PTE 


1 划分 层 网 络 概述 ， 
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实际 上 ， 企 业 网 络 的 设计 并 不 能 一 概 而 论 ， 先 不 说 企业 的 规模 ， 就 是 不 同行 业 中 的 
企业 ， 也 有 各 目 不 同 的 需求 ， 比 如 : 金融 行业 可 能 更 多 注音 网 络 的 可 靠 性 和 安全 性 ; 医 
疗 行业 可 能 需要 满足 多 种 医疗 设备 的 联网 需求 ;| 交通 行业 可 能 需要 应 对 旺季 突 发 的 已 大 
流量 和 由 此 市 来 的 服务 器 负载 ， 石油 和 天 然 气 行业 由 于 地 理 环 境 复杂 可 能 更 需要 结合 多 
种 通信 方式 〈 铺 设 海 绕 、 架 设 微波 系统 等 ) ; 电力 系统 可 能 会 更 多 关注 见 余 性 的 考量 ; 
零售 行业 可 能 更 需要 实现 对 所 有 门店 及 库存 信息 的 统一 管理 和 调度 ; 酒店 行业 可 能 会 更 
多 地 面临 宾客 目 融 设备 的 病毒 传播 问题 。 2 

虽然 各 行 各 业 不 同 规模 的 企业 对 于 目 己 的 网 络 会 提出 各 种 各 样 的 需求 ， 但 网 络 架 构 
仍 有 共同 之 处 。 本 广 将 会 介绍 企业 网 设计 中 最 基本 的 指导 原则 ， 管 理 员 只 有 掌握 了 这 种 
原则 ， 才 能 根据 目 己 企 业 的 特点 和 需求 进行 合理 规划 。 


1.1.1 企业 网 与 数字 办 公 


时 下 ， 各 行 各 业 、 不 同 规模 的 企业 都 已 经 在 不 同 程度 上 实现 了 办 公 网 络 化 ， 完 全 不 
信 助 网 络 进行 办 公 的 企业 已 经 少 之 又 少 。 然 而 ， 这 一 切 的 发 生 似乎 并 没有 经 历 太 长 的 过 
渡 阶 段 。 很 多 当前 仍然 在 职 的 50 后 、60 后 、70 后 一 代 都 曾经 历 过 依靠 纸 、 笔 、 算 盘 / 
计算 器 办 公 的 时 代 ， 并 且 有 秆 见证 了 企业 办 公信 息 化 、 网 络 化 的 过 程 。 在 六 莫 前 埋 们 丰 


和 办 公 方 式 带 来 了 哪些 变化 ?因为 企业 办 公 网 络 化 的 驱动 力 ， 势 必 与 企业 网 对 服务 提出 
的 需求 相关 , 而 企业 网 的 需求 又 会 进一步 与 网 络 的 解决 方案 和 新 兴 的 技术 发 展 趋势 相关 ， 
最 终 与 每 一 位 读者 在 未 来 工作 中 将 要 面临 的 问题 相关 。 

我 们 在 这 里 不 奢望 对 企业 网 带 来 的 变化 进行 全 面 总 结 ， 仅 抛砖引玉 ， 提 出 网 络 化 办 
公 与 传统 方式 相 比 的 几 点 优势 。 

。 信息 交互 方面 ， 从 电子 邮件 被 应 用 到 办 公 环 境 中 开始 ， 网 络 技术 就 已 经 给 企业 
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的 办 公 效 率 融 来 了 变化 。 与 传统 相互 传输 实体 文字 相 比 ， 电 子 邮件 不 仅 可 以 显 
车 增 加 通信 的 效率 ， 而 且 可 以 优化 人 员 之 间 的 协作 效率 。 比 如 ， 电 子 邮件 让 负 
责 人 有 能 力 对 自己 分 配 的 任务 或 者 同事 间 的 工作 协调 信息 进行 追溯 ， 这 就 避免 
了 口 口 相传 的 工作 分 配方 式 给 想 推 请 责任 的 人 市 来 的 可 乘 之 机 。 
。 ”信息 发 布 方面 : 传统 上 ， 在 企业 中 发 布 信息 往往 是 依靠 张贴 告示 、 从 上 而 下 逐 
级 通知 或 逐个 电话 通信 的 方式 来 完成 的 。 这 些 方 法 或 者 可 靠 性 差 ， 无 法 保证 每 
位 相关 人 员 都 能 掌握 要 发 布 的 信息 ; 或 代价 高 晶 ， 需 要 耗费 人 们 的 时 间 和 经 济 
成 本 。 通 过 企业 网 ， 所 有 需要 发 布 的 信息 可 以 可 靠 、 及 时 、 高 效 地 通告 给 每 位 
相关 人 员 。 
。 ”信息 共享 方面 : 实体 信息 复制 起 来 更 加 麻烦 ， 而 且 成 本 也 更 高 。 如 果 采 用 相关 
员 依 次 传阅 的 方式 ， 那 么 当 信 息 数量 庞大 时 ， 难 免 会 影响 办 公 效 率 ， 而 通过 
网 络 传输 的 数据 则 可 以 轻松 实现 复制 。 因 此 ， 通 过 企业 网 络 ， 需 要 参考 相同 信 
县 的 人 员 完 全 可 以 各 目 获 得 一 份 该 信息 的 副本 ， 并 且 随 时 在 工作 中 使 用 。 
。 ”信息 存储 方面 :实体 信息 不 仅 难以 复制 ， 而 且 更 加 难以 保存 。 这 不 仅仅 是 因为 
纸张 和 油墨 很 容易 受到 时 间 的 侵蚀 ， 同 时 也 是 因为 保存 大 量 实体 信息 会 占据 企 
业 的 空间 ， 增 加 企业 的 成 本 。 另 外 ， 随 着 保存 的 信息 越 来 越 多 ， 每 次 查阅 之 前 
的 信息 需要 耗费 的 时 间 也 越 来 越 多 。 保 存 数据 信息 则 不 仅 成 本 更 低 ， 而 且 查 询 
数据 时 的 效率 也 更 高 。 
当然 ， 上 面 的 内 容 仅仅 是 网 络 提升 企业 办 公 效 率 的 一 些 方面 ， 并 没有 体现 出 企业 网 
自身 在 过 去 所 经 历 的 发 展 变化 。 
随 着 企业 网 基础 设施 tian 的 更 新 换代 ， 企 业 网 中 传递 的 信息 构成 也 
在 不 断 发 生 着 变化 。 早 期 ， 企 业 网 中 传输 的 信息 以 数据 (Data) 为 主 。 受 限于 网 络 的 市 
宽 和 处 理 能 力 ， 语 音信 息 一 般 会 通过 独立 于 企业 网 的 电话 网 络 进行 传输 ， 至 于 视频 信息 
类 服务 更 是 超出 了 企业 网 的 承载 能 力 。 而 现 如 今 ， 一 根 网 线 就 可 以 满足 企业 的 所 有 数据 
通信 需求 。 数 据 、 语 音 、 视 频 等 流量 都 可 以 通过 企业 网 来 承载 。 
当 数 据 、 语 音 等 信息 在 企业 网 中 所 占 比 例 不 断 增加 的 同时 ， 企 业 网 中 联网 设备 的 种 
类 也 在 不 断 增加 。 当 今 ， 不 仅 诸 亲 IP 电话 、IP 电视 、IP 摄像 头等 IP 音 视 频 终 端 已 经 被 
广泛 地 部 署 在 了 各 类 企业 中 ， 人 们 还 在 给 不 同类 型 的 设备 内 髓 传 感 占 心 片 ， 将 这 些 过 去 
并 不 存在 数据 通信 和 需求 的 设备 全 部 连接 到 网 络 之 中 ， 实 现 信息 交 五 。 
早 在 企业 能 够 将 越 来 越 多 不 同类 型 的 设备 统统 接 入 到 网 络 中 之 前 ， 大 多 数 企 业 都 首 
先 部 署 了 无 线 的 接 入 环境 。 这 样 不 仅 削 减 了 企业 的 布线 成 本 ， 而 且 解 决 了 联网 设备 增加 
齐 来 的 企业 网 交换 机 端口 密度 不 足 的 问题 。 随 着 无 线 接 入 方式 的 普及 ， 目 囊 设 备 (Bring 
Your Own Device，BY0D) 成 为 一 种 风行 全 球 的 移动 办 公 方 式 ， 越 来 越 多 的 员工 通过 目 己 
的 智能 终端 连接 在 企业 网 的 无 线 接 入 点 CAP) 进行 办 公 。 





-一 4 一 


在 这 些 已 经 既成 现实 的 企业 网 发 展 经 历 之 外 ， 企 业 网 近 些 年 来 人 还 展 现 出 了 大 量 新 的 
发 展 趋势 。 我 们 会 在 1. 3 节 中 选取 几 个 比较 热门 的 趋势 进行 介绍 。 

在 1.1.1 节 中 ， 我 们 对 企业 网 给 企业 带 来 的 优势 和 企业 网 的 一 些 发 展 情况 进行 了 倘 
单 的 概述 。 在 1.1. 2 市 中 ， 我 们 会 介绍 为 了 高 效 、 可 靠 地 提供 这 些 企业 网 服务 ， 大 多 数 
企业 在 部 署 企业 网 时 所 采用 的 设计 模型 。 


1.1.2 分 层 模型 概述 


为 了 满足 端口 密度 的 需求 ,企业 网 络 当然 会 以 以 态 移交 换 机 作为 主要 设备 来 构建 。 
然而 ， 如 果 一 个 局 域 网 中 只 有 不 超过 30 台 终 端 需 要 接 入 ， 那 么 除非 这 个 局 域 网 拥有 一 
些 特殊 的 需求 ， 否 则 也 就 谈 不 侍 设 计 的 概念 。 管 理 员 只 需要 购置 一 台 三 层 以 太 网 交换 
机 ， 用 上 行 链 路 连接 客户 /企业 边缘 路 由 器 ， 用 下 行 链 路 与 所 有 需要 通过 有 线 方式 接 
入 的 终端 相连 或 与 一 个 无 线 接 入 点 〈AP) 相连 ， 所 有 问题 基本 束 可 以 迎刃而解 了 了 ， 如 
图 1-1 所 示 。 








接 入 点 (AP) 





无 线 终端 无 线 终端 有 线 终端 。 有 线 终端 ” 有 线 终端 ”有 线 终端 


图 1-1 一 个 超 小 型 网 络 的 部 车 方法 
当 这 个 局 域 网 扩展 到 需要 使 用 2 台 、3 台 交 换 机 时 ， 人 们 会 自然 而 然 地 想到 将 这 几 
台 交 换 机 按 如 图 1-2 所 示 的 网 络 相 连 。 鉴 于 在 这 类 网 络 设计 方案 中 ， 每 侣 交换 机 的 角色 
和 作用 都 是 对 称 的 ， 因 此 人 们 一 般 称 这 种 设计 为 平面 设计 方案 。 
图 1-2 所 示 的 这 种 方案 是 图 1-1 所 示 网 络 最 目 然 的 扩展 方案 ， 它 也 确实 是 一 些 企业 
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早期 开始 搭建 企业 网 时 使 用 过 的 设计 方案 。 然 而 ， 采 用 这 种 设计 方案 的 网 络 一 旦 扩展 到 
一 定 规模 ， 设 计 和 管理 人 员 就 会 渐渐 体验 “成 长 的 烦恼 ”。 这 种 网 络 设计 方案 效率 低 、 
故障 多 、 不 易 规 划 的 问题 也 就 暴露 了 出 来 。 说 得 具体 一 点 ， 平 面 设计 方案 很 难 对 下 和 面 儿 
个 问题 给 出 合理 的 回答 。 


Internet 





图 1-2 采用 平面 设计 的 局 域 网 


1， 如 何 尽量 减少 不 相关 设备 参与 流量 的 处 理 ? 

如 果 采 用 平面 设计 方案 ， 当 某 个 终端 在 自己 的 VLAN 中 发 送 一 个 广播 消息 时 ， 数 据 
帧 传输 路 径 中 的 一 台 或 多 台 交 换 机 上 不 管 是 否 有 终端 加 入 了 该 VLAN, 这 些 交 换 机 都 要 无 
率 地 为 这 个 VLAN 转发 消息 。 随 看 平面 设计 拓扑 的 不 断 拓 类, 受 此 影响 的 设备 也 会 越 来 越 
多 ， 如 图 1-3 所 示 。 

2， 如 何 将 网 络 故 障 隔 离 在 最 小 范围 内 ? 

如 果 采 用 平面 设计 方案 ， 由 十 无 论 数 据 包 转发 路 径 中 间 的 那儿 台 交 换 机 (图 1-3 中 
的 交换 机 2、 交 换 机 3 和 交换 机 4) 上 是 否 有 端口 加 入 了 VLAN 17， 它 们 都 要 为 交换 机 1 
和 交换 机 5 上 VLAN 17 的 通信 提供 转发 ， 因 此 ， 中 间 某 台 交 换 机 的 故障 就 会 导致 网 络 中 
几乎 每 个 VLAN 都 被 分 割 成 两 个 信息 孤岛 。 随 着 平面 设计 拓扑 的 不 断 扩大 , 这 种 广播 域 因 
中 间 设 备 故障 而 被 分 隔 的 概率 也 就 越 大 ， 如 图 1-4 所 示 。 

3. 如何 让 具备 不 同性 能 的 设备 服务 于 不 同 流 量 转发 压力 的 环境 ? 

如 果 采 用 图 1-2 所 示 的 平面 设计 方案 ， 那 么 在 规划 网 络 时 ， 设 计 人 员 应 该 考虑 部 署 
什么 级 别 的 交换 机 呢 ? 鉴于 每 台 交 换 机 的 角色 和 作用 都 是 相同 或 相近 的 ， 因 此 我 们 很 难 
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在 设计 网 络 时 区 分 对 竺 它们 。 那 么 ， 我 们 在 选 型 时 ， 是 全 部 使 用 高 闫 交换 机 ， 还 是 全 部 


使 用 低 问 交换 机 呢 ? 
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图 1-4 平面 设计 的 问题 《二 


如 宁 孝 使 用 高 器 交换 机 ， 那 么 随 独 网 络 的 扩展 ， 整 体 网 络 部 普 成 本 
以 想像 ， 这 种 方法 对 于 这 些 高 端 交 换 机 的 资源 无 疑 也 是 一 种 巨大 的 浪费 。 
低 端 交换 机 ， 那 么 这 个 网 络 一 旦 出 现 流 量 高 峰 ， 它 的 数据 传输 效率 束 


| 都 怪我 的 位 置 不 好 ， 
他 我 本 地 并 没有 属于 /人 
| VLAN 17 的 端口 ， 却 | 
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为 第 1 个 问题 〈 见 图 1-3) 无 法 得 到 很 好 的 解决 ， 所 以 这 个 网 络 中 一 旦 部 署 了 较 多 的 交 
换 机 和 较 多 的 应 用 ， 这 个 网 络 很 容易 频繁 地 出 现 流 量 高 峰 。 另 外 ， 无 论 全 部 选用 体积 较 
大 的 局 病 交 换 机 还 是 症 口 密度 有 限 的 低 交 交换 机 ， 孝 会 在 各 观 上 增加 这 个 网 络 的 布线 难 
度 。 这 一 点 对 应 了 平面 设计 方案 不 易 规 划 的 问题 。 

综 上 上 所 述 ， 为 了 避免 平面 设计 方案 的 诸多 问题 ， 人 们 在 后 来 设计 企业 网 时 ， 基 本 都 
采用 了 我 们 在 《路 由 与 交换 技术 》 第 1 章 的 分 层 设计 〈Hierarchical Design) 方案 ,将 
一 个 企业 网 按照 两 到 三 个 层级 的 方式 分 层 设计 ， 如 图 1-5 所 示 。 
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图 1-5 分 层 设计 方案 


如 果 采 用 图 1-5 所 示 的 这 种 分 层 的 设计 模型 ， 无 论 这 个 网 络 扩 展 到 多 大 规模 ， 
两 台 终 端 之 间 的 通信 最 多 只 需要 经 过 5 台 交 换 机 的 转发 。 而 且 这 5 台 交 换 机 中 ， 并 
不 会 有 哪 台 交换 机 是 “原本 不 必 ” 参 与 该 VLAN 数据 转发 的 ， 这 就 解决 了 图 1-3 所 示 
的 问题 

此 外 ， 每 一 台 接 入 层 交 换 机 都 连接 了 两 台 汇 聚 层 交换 机 、 每 台 汇聚 层 交 换 机 都 连接 
了 两 人 台 核 心 层 交换 机 ， 任 何 一 台 汇 聚 层 交换 机 故障 或 者 任何 一 台 核 心 层 交 换 机 故障 ， 都 
不 会 导致 任何 VLAN 被 隔离 成 两 部 分 , 而 一 台 接 入 层 设备 的 故障 只 会 对 网 络 中 的 一 个 有 限 
范围 构成 影响 ， 这 就 解决 了 图 1-4 所 示 的 问题 

最 后 ， 采 用 企业 网 分 层 模 型 ,专业 人 员 可 以 在 网 络 设 计 之 初 就 按照 核心 层 选 用 高 端 
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三 层 交 换 机 、 汇 聚 层 选用 中 端 三 层 交换 机 、 接 入 层 选择 低 端 三 层 交换 机 或 者 二 层 交换 机 
的 理念 完成 设备 选 型 ， 各 个 交换 机 厂商 也 都 分 别 推出 了 各 自 针对 核心 层 、 汇 聚 层 和 接 入 
层 的 设备 供 技术 人 员 选 用 。 每 当 网 络 需要 进一步 扩展 时 ， 技 术 人 员 只 需要 根据 当时 的 需 
要 ， 适 时 地 添加 接 入 层 、 汇 聚 层 和 核心 层 的 设备 即 可 。 这 种 方法 大 大 方便 了 技术 人 员 的 
设计 工作 ， 也 让 布线 变 得 更 加 简单 ， 网 络 的 易 规 划 性 得 到 了 显著 提升 。 

当然 ， 企 业 网 三 层 设计 方案 并 不 是 金 科 玉 律 。 技 术 人 员 可 以 视 企业 网 的 规模 和 网 络 
建设 的 成 本 ， 合 理 地 合并 核心 层 和 汇聚 层 ， 采 用 二 层 设计 方案 来 部 署 网 络 。 不 过 ， 无 论 
部 署 多 大 规模 的 网 络 ， 都 不 必 采用 多 于 三 层 的 设计 方案 * 否则 过 多 的 分 层 反而 会 提升 部 
署 网 络 的 经 济 成 本 ， 增 加 企业 网 内 部 两 台 终 端 间 的 通信 数据 有 可 能 经 历 的 转发 设备 ， 提 
高 网 络 出 现 各 类 故障 的 概率 。 4 

在 1.1.2 节 中 ， 我 们 通过 叙述 平面 设计 方案 的 不 足 ， 引 出 了 企业 网 分 层 设计 方案 的 
概念 ， 并 且 对 这 个 分 层 设计 方案 的 优势 进行 了 概述 ， 我 们 相信 读者 现在 对 这 个 分 层 的 设 
计 方案 已 经 有 了 一 定 的 了 解 。 在 1. 2 节 中 , 我 们 会 基于 读者 当下 对 这 种 设计 方案 的 了 解 ， 
详细 介绍 图 1-5 中 企业 网 各 个 层级 的 作用 。 | 


2 1.2 企业 网 体系 结构 
1.1.2 节 中 我 们 介绍 的 三 层 模型 ， 其 实 我 们 在 《路 由 与 交换 技术 》 第 1 章 中 也 曾经 
介绍 过 。 在 《路 由 与 交换 技术 》 中 ,我 们 曾经 分 别 用 一 两 句 话 分 别 概括 了 这 三 层 的 功能 。 

-为 了 方便 读者 回忆 ， 我 们 将 这 些 内容 粘 帖 如 下 。 

e。 核心 层 〈Core Layer) : 使 用 高 性 能 的 核心 层 交 换 机 提供 流量 快速 转发 。 同 时 
为 了 避免 单 点 故障 ， 核 心 层 常 常 需 要 部 昔 一 定 程 度 的 几 余 。 

。 汇聚 层 (Aggregation Layer) : 也 称 为 分 布 层 (Distribution Layer) ， 这 一 
层 的 交换 机 需要 将 接 入 层 各 个 交换 机 发 来 的 流量 进行 汇聚 ， 并 通过 流量 控制 策 
略 ， 对 企业 网 中 的 流量 转发 进行 优化 ; 

。 接 入 层 (Access Layer) : 为 终端 设备 提供 毛 入 和 转发 。 大 型 企业 网 往往 拥有 
数量 相当 庞大 的 终端 设备 。 鉴 于 终端 设备 数量 庞大 ， 所 以 接 入 层 往往 会 部 署 那 


种 端口 密度 很 大 的 低 端 二 层 交换 机 ， 其 目的 纯粹 是 为 了 将 这 些 终端 设备 连接 到 
企业 网 当中 。 


虽然 这 些 文字 已 经 对 这 三 层 的 内 容 进行 了 比较 简练 的 说 明 ， 但 是 这 些 信息 显然 过 于 
笼统 ， 读 者 很 难 直接 利用 这 些 信息 来 完成 各 层 的 设备 选 型 、 功 能 设计 和 配置 部 普 。 为 了 
让 读者 能 够 在 工作 环境 中 落实 这 个 体系 结构 ， 在 1. 2 市 中 ， 我 们 会 分 3 六 分 别 对 这 三 层 
的 内 容 展开 介绍 。 下 面 ， 我 们 首先 从 接 入 层 说 起 。 
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1.2.1 接 入 层 


接 入 层 设备 向 上 连接 汇聚 层 交 换 机 , 向 下 则 为 各 类 终端 设备 (通过 有 线 和 无 线 方式 ) 
提供 接 入 。 一 般 来 说 ， 网 络 接 入 层 大 都 会 部 署 二 层 交换 机 。 目 前 ， 为 了 支持 时 下 流行 的 
BY0D， 接 入 层 基 本 也 会 连接 无 线 接 入 点 。 此 外 ， 接 入 层 也 会 根据 需要 部 署 xPON、xDSL 
等 设备 。 

我 们 先 从 下 向 上 看 ， 接 入 层 需要 将 林林总总 的 终端 设备 接 入 到 企业 网 中 。 我 们 在 
1.1. 2 节 概 述 分 层 模型 时 ， 提 出 的 第 一 个 问题 是 “如 何 尽 量 减 少 不 相 关 设 备 参 与 流量 的 
处 理 ”。 在 企业 网 的 三 层 架 构 中 ， 接 入 层 交 换 机 是 终端 设备 始 发 流量 进入 企业 网 的 第 一 
跳 交 换 机 ， 因 此 它 应 当 在 这 一 层 发 挥 无 关 / 恶 意 流量 的 过 滤 作 用 , 尽快 将 来 自 于 终端 的 那 
些 无 谓 流量 过 滤 掉 ， 而 不 让 这 些 流量 被 进一步 传播 给 流量 处 理 压力 更 大 的 分 布 层 。 我 们 
在 这 里 谈 到 的 过 滤 ， 既 包括 在 接 入 层 部 署 认证 机 制 来 过 滤 非 法 用 户 发 起 的 连接 ， 也 包括 
在 这 里 部 署 一 些 交 换 机 特性 〈Features) 来 过 滤 来 自 请 如 ARP 欺骗 攻击 、MAC 地 址 泛 潜 
攻击 、DHCP 欺骗 攻击 等 攻击 手段 的 恶意 流量 。 


想 不 起 ARP 欺骗 攻击 这 一 概念 ， 或 者 未 在 《网 络 基 础 》 中 选 学 这 一 概念 的 读者 ， 
可 以 重新 闻 读 本 系列 教材 《 网 络 基础 的 6.3.2 节 ; 想 不 起 MAC 地 址 泛 洪 攻击 这 一 概念 ， 
或 者 未 在 《路 由 与 交换 技术 》 中 选 学 这 一 概念 的 读者 ， 可 以 重新 闻 读 本 系列 教材 《路 由 
与 交换 》 的 1.2.3 节 。 关 于 DHCP 欺骗 攻击 ， 本 书 会 在 6.1.4 节 中 进行 介绍 ,读者 可 以 根 
据 自 己 的 需要 进行 选 学 。 


“尽快 过 滤 ” 是 部 署 过 滤 机 制 时 的 最 佳 做 法 (Best Practice ) ， 我们 希望 读者 能 够 在 
领会 这 一 原则 的 基础 上 , 将 其 应 用 于 实际 的 网 络 设计 和 部 署 工作 中 。 这 种 原则 顾名思义 ， 
就 是 指 对 于 应 该 过 滤 的 数据 ,网 络 设计 人 员 应 当 在 尽 可 能 贴近 该 数据 源 的 位 置 实施 过 滤 ， 
而 不 要 等 大 量 设备 都 为 了 转发 它们 而 耗费 了 资源 之 后 再 进行 过 滤 。 这 种 原则 不 仅 适 用 于 
在 接 入 层 部 署 一 些 流量 过 滤 机 制 抱 场 景 ， 在 设计 很 多 过 滤 机 制 的 操作 点 时 都 普遍 适用 。 
关于 这 一 点 ， 我 们 还 会 在 本 书 的 3.4.2 节 (应 用 高 级 IP ACL ) 中 重复 。 


网 络 设备 的 特性 ( Feature ) 是 指 该 网 络 设备 提供 的 特定 功能 ， 设 备 管理 员 可 以 在 操 
作 系 统 中 输入 对 应 的 命令 让 设备 启用 这 项 /这 些 功 能 。 特性 不 同 于 协议 , 它 是 指 一 台 设 备 
本 地 自行 对 数据 执行 的 操作 ， 因 此 特性 的 操作 不 涉及 设备 间 的 协商 ,一 人 台 设 备 是 否 执 行 
某 项 特性 与 其 他 设备 通常 是 无 关 的 。 
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除了 过 滤 机 制 之 外 ， 如 果 管 理 员 希望 企业 网 根据 不 同类 型 流量 的 重要 性 、 延 迟 敏感 
度 等 特征 ， 区 别处 理 这 些 不 同类 型 的 流量 ， 那 么 管理 员 往往 需要 通过 配置 ， 让 接 入 层 交 
换 机 首先 通过 分 类 和 标记 来 区 分 出 不 同 的 流量 类 型 ， 以 便 汇聚 层 交 换 机 和 核心 层 交换 机 
根据 标记 来 区 别 对 待 不 同 的 流量 。 这 种 差异 化 处 理 不 同类 型 流量 的 目的 是 为 了 保障 数据 
通信 网 络 的 服务 质量 , 因此 这 类 将 流量 进行 差异 化 处 理 的 技术 统称 为 服务 质量 (Quality 
of Service) 技术 。QoS 技术 不 是 一 项 技术 ， 而 是 一 类 技术 。 这 类 技术 相对 复杂 ， 它 们 
的 原理 与 配置 超出 了 本 系列 教材 的 知识 范围 。 对 这 类 技术 感 兴趣 的 读者 可 以 在 充分 掌握 
了 本 系列 教材 的 内 容 之 后 ， 在 课 下 单独 向 任课 教师 请 教 # 也 可 以 报名 各 类 技术 培训 机 构 
进行 深入 学 习 ， 本 书 在 此 不 作 袭 述 。 

图 1-6 所 示 为 管理 员 常 常 需要 在 接 入 层 上 针对 终端 部 署 的 各 类 机 制 。 图 中 的 终端 1 
正在 发 起 MAC 地 址 泛 洪 攻击 ， 由 于 它 所 连 交换 机 的 端口 部 署 了 对 应 的 过 滤 机 制 ， 因 此 这 
些 数据 包 完 全 不 会 给 企业 网 中 的 其 他 交换 机 造成 困扰 ;图 中 的 终端 2 连接 到 了 一 个 需要 
对 用 户 进行 认证 的 交换 机 端口 ， 该 用 户 由 于 认证 失败 ， 因 此 交换 机 拒绝 了 他 的 访问 ;在 
图 1-6 的 右 下 方 ， 有 一 台 接 入 层 交换 机 对 终端 3 发 出 的 流量 进行 了 分 类 和 标记 ， 以 便 汇 
聚 层 和 核心 层 的 交换 机 能 够 根据 其 标签 明确 应 该 如 何 处 理 这 个 数据 包 。 
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终端 3 


图 1-6 企业 网 接 入 层 第 常 击 要 部 帝 的 机 制 (一 ) 
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在 讨论 完 如 何 针对 终端 设备 部 署 接 入 层 交 换 机 之 后 ， 我 们 治 着 三 层 架 构 同 上 看 ， 接 
入 层 之 上 是 汇聚 层 ， 如 果 接 入 层 设 备 出 现 故 障 ， 影 响 的 范围 仅 限 于 它 连 接 的 终端 设备 ; 
但 如 果 它 连接 的 汇聚 层 设 备 发 生 故障 ， 或 者 接 入 层 设备 连接 汇聚 层 设 备 的 端口 和 链 路 发 
生 故 障 ， 受 到 波及 的 终端 设备 就 会 比较 多 。 为 此 ， 接 入 层 一 般 会 部 署 采 用 双 上 行 的 拓扑 
结构 ， 也 就 是 说 每 台 接 入 层 交 换 机 都 连接 两 台 汇 聚 层 交换 机 。 接 入 层 交 换 机 上 连接 的 终 
端 可 能 分 别 属 于 多 个 VLAN， 并 且 二 层 交 换 机 不 具备 三 层 功能 ， 因 此 接 入 层 交 换 机 与 汇聚 
层 交 换 机 之 间 一 般 会 通过 Trunk 链 路 相连 。 这 种 设计 方案 可 以 提供 元 余 ， 显 著 提高 网 络 
的 可 用 性 。 图 1-7 所 示 为 一 个 企业 网 的 接 入 层 ， 这 样 的 接 入 层 设 计 方 案 会 导致 接 入 层 和 
汇聚 层 之 间 产 生 交 换 环 路 。 图 中 粗 线 所 示 即 为 一 台 接 入 层 交 换 机 和 两 台 汇 聚 层 交 换 机 之 
间 形 成 的 环 路 。 为 了 避免 网 络 中 产生 逻辑 环 路 ， 这 些 交 换 机 上 需要 运行 某 种 模式 的 生成 
树 协议 (STP》。 


测 上 瓯 


如 小 消 





图 1-7 “企业 网 接 入 层 常常 需要 部 署 的 机 制 〈 二 ) 


关于 接 入 层 的 设计 我 们 可 以 告 一 段落 了 。 在 1. 2. 2 节 诈 ， 我 们 会 继续 对 汇聚 层 进行 
介绍 。 


1.2.2 汇聚 层 


我 们 在 1. 1 节 的 最 后 曾经 说 过 ， 企 业 网 的 三 层 设计 方案 并 不 是 金 科 玉 律 。 对 于 规模 
不 大 的 网 络 ， 网 络 工程 师 可 以 将 核心 屋 和 汇聚 层 进 行 合并 ， 和 采用 两 层 设计 方案 来 部 羞 网 
络 。 但 对 于 具备 一 定 规模 的 网 络 来 说 ， 网 络 中 往往 会 部 着 大 量 的 接 入 层 交 换 机 。 此 时 ， 
如 果 采 用 两 层 设计 方案 ， 上 一 层 交 换 机 中 的 端口 数量 首先 就 难以 满足 大 量 接 入 层 交 换 机 
的 连接 需求 。 所 以 ， 在 设计 规模 较 大 的 网 络 时 ， 设 计 人 员 应 该 在 核心 层 和 接 入 层 之 间 添 
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加 一 层 来 汇聚 接 入 层 交 换 机 发 来 的 数据 ， 将 其 上 呈 核 心 层 交换 机 。 在 1.2. 2 节 中 ， 我 们 
会 介绍 当 企业 网 的 设计 中 包含 汇聚 层 时 ， 管 理 员 应 该 在 汇聚 层 交 换 机 上 部 署 哪些 机 制 。 

如 果 接 入 层 设 备 连接 的 汇聚 层 设备 发 生 了 故障 ， 或 者 接 入 层 设备 连接 汇聚 层 设 备 的 
端口 和 链 路 发 生 了 故障 ， 这 种 故障 波及 的 终端 设备 会 比 接 入 层 设备 出 现 故 障 波及 的 终 站 
多 得 多 ， 所 以 接 入 层 一 般 会 部 署 采 用 双 上 行 的 拓扑 结构 。 基 于 同样 的 人 原因， 汇聚 层 更 加 
应 该 采用 双 上 行 拓 扑 结构 ， 也 就 是 每 台 汇 聚 层 交 换 机 连接 两 台 核 心 层 交换 机 。 

既然 在 规模 较 小 的 网 络 中 ， 汇 聚 层 和 核心 层 可 以 合并 为 一 层 ， 因 此 汇聚 层 的 交换 
机 选 型 也 多 和 核心 层 一 样 考虑 使 用 三 层 交 换 机 。 不 过 = 汇聚 层 交 换 机 可 以 选用 中 疹 三 
层 交 换 机 。 鉴 于 汇聚 层 一 般 使 用 三 层 交 换 机 ， 因 此 与 接 入 层 设备 和 汇聚 层 设备 之 间 部 
闭 二 层 交 换 环 境 的 做 法 不 同 ， 秦 聚 层 设备 与 核心 层 设备 之 间 往 往 会 有 用 三 层 互联 的 方 
式 。 由 此 可 以 看 出 ， 汇 聚 层 交换 机 应 该 作为 企业 网 中 二 层 环境 与 三 层 环境 之 间 的 汇聚 
点 ， 同 时 它们 (的 VLAN 虚拟 接口 ) 也 应 该 用 来 充当 所 连接 终 新 的 网 天 设备 ， 如 图 1-8 
所 示 。 
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图 1-8 汇聚 层 在 企业 网 中 扮演 的 角色 





之 所 以 在 汇聚 层 交 换 机 与 核心 层 交 换 机 之 间 应 该 采用 三 层 连 接 《〈IP 连接 ) ， 其 中 一 
个 原因 是 相对 于 二 层 连接 ， 管 理 员 可 以 对 三 层 环境 执行 更 多 的 管理 控制 。 比 如 ， 汇 聚 层 
交换 机 上 往往 需要 部 闭路 由 聚合 ， 将 其 连接 的 各 个 子 网 路 由 汇 缘 成 数量 很 少 的 汇总 路 由 
通告 给 核心 层 交 换 机 , 这 样 可 以 将 小 范围 的 网 络 变更 对 核心 层 隐藏 ， 提 高 网 络 的 稳定 性 。 
再 比如 ， 管 理 员 也 可 以 在 汇聚 层 交 换 机 上 部 署 访问 控制 列表 ， 为 企业 网 提供 更 高 效 的 基 
于 IP 地址 的 过 滤 。 此 外 , 管理 员 也 可 以 针对 接 入 层 交 换 机 所 作 的 分 类 和 标记 操作 ,在 汇 
聚 层 交 换 机 上 部 署 对 应 的 区 分 处 理 方 式 ， 让 网 络 能 够 更 好 地 根据 管理 员 定 义 的 QoS 策略 
来 分 别 对 不 同类 型 的 数据 包 执行 不 同 的 操作 ， 如 图 1-9 所 示 。 
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图 1-9 企业 网 汇聚 层 上 通常 需要 部 署 的 机 制 


在 1.2.3 节 中 ， 我 们 会 继续 介绍 核心 层 的 作用 及 需要 在 核心 层 上 部 闭 的 机 制 。 
1.2.3 ”核心 层 


在 对 汇聚 层 进行 了 解释 之 后 ， 核 心 层 的 部 署 方法 与 作用 也 就 呼之欲出 了 。 根 据 汇聚 
层 的 介绍 ， 读 者 也 可 以 想到 ， 核 心 层 交换 机 应 该 尽量 选用 高 端 或 中 高 端的 三 层 交换 机 ， 
而 核心 层 也 需要 尽量 部 署 管理 上 更 加 可 控 ， 也 更 容易 通过 负载 分 担 提高 带宽 使 用 率 和 网 
络 稳定 性 与 可 用 性 的 三 层 环境 。 实 际 上 ， 在 三 层 模型 中 ， 核 心 层 的 作用 就 是 给 整个 网 络 
提供 这 种 高 速 而 又 可 靠 的 数据 转发 能 力 。 

为 了 在 三 层 模型 中 实现 高 速 数据 转发 , 江 程 师 在 设计 核心 层 网 络 时 ， 应 该 在 企业 能 够 
承担 的 经 济 预算 范围 之 内 , 选择 性 能 尽 可 能 优秀 的 三 层 交换 机 来 充当 核心 层 交 换 机 。 同 时 ， 
工程 师 也 要 尽 可 能 减免 核心 交换 机 上 与 数据 转发 无 关 的 CPU 密集 型 任务 , 把 这 些 任务 尽 可 
能 移交 给 汇聚 层 交 换 机 来 完成 。 这 里 所 说 的 处 理 任务 包括 我 们 在 前 面 介 绍 的 IP ACL 过 滤 
策略 和 QoS 分 类 策略 ， 其 他 会 大 量 消耗 核心 层 交 换 机 CPU 资源 的 处 理 方式 也 应 该 尽量 交 由 
汇聚 层 或 分 布 层 交 换 机 来 承担 ， 让 交换 机 将 尽 可 能 多 的 资源 用 于 企业 网 的 数据 转发 。 

在 分 层 染 构 中 ， 核 心 层 担负 看 实现 企业 网 全 网 互联 ， 以 及 企业 网 与 Internet 互联 
的 重要 任务 。 因 此 ， 核 心 层 瘫痪 意味 着 整个 企业 网 都 会 被 隔离 成 多 个 信息 孤岛 ， 同 时 每 
个 信息 孤岛 也 都 会 失去 与 Internet 的 连接 ， 如 图 1-10 所 示 。 

为 了 避免 这 种 情况 的 发 生 ， 工 程 师 在 参考 预算 对 核心 层 交 换 机 进行 选 型 时 ， 一 方面 
要 选择 性 能 尽 可 能 强大 的 交换 机 ， 另 一 方面 也 要 兼顾 核心 层 的 可 靠 性 。 这 包括 工程 师 应 
该 确保 企业 网 中 部 署 有 宛 余 的 核心 层 交 换 机 ， 且 核心 层 交 换 机 之 间 通过 多 条 链 路 彼此 相 
连 ， 同 时 也 要 考虑 是 否 给 核心 层 交换 机 上 的 重要 组 件 ( 如 宛 余 电源 ) 配备 元 余 ， 防 止 核 
心 层 出 现 单 点 故障 。 
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图 1-10 企业 网 核心 层次 痪 的 影响 


当然 ， 对 于 因 规 模 不 大 而 在 设计 时 合并 了 汇聚 层 和 核心 层 的 中 小 型 企业 网 ， 由 于 并 
没有 实现 核心 层 与 汇聚 层 的 区 分 ， 因 此 核心 层 交换 机 同时 也 需要 承担 汇聚 层 交换 机 的 处 
理 操作 。 换 言 之 ， 在 仅 包含 接 入 层 和 核心 层 的 两 层 企业 网 中 ， 核 心 层 交 换 机 上 则 需要 部 
署 一 些 影响 CPU 性 能 的 业务 。 网 络 方案 的 设计 没有 对 错 ， 有 的 只 是 设计 方案 是 否 符合 企 
业 的 需求 。 管 理 员 在 掌握 了 企业 网 设计 的 根本 原则 后 ， 就 可 以 根据 企业 自身 的 需求 〈 业 
务 需求 、 成 本 投入 等 ) 因地制宜 了 。 

在 1. 2 节 中 ， 我 们 分 3 节 分 别 介绍 了 接 入 层 、 汇 聚 层 和 核心 层 应 该 在 网 络 设计 中 发 
挥 的 作用 ， 工 程 师 在 设计 网 络 时 应 该 如 何 针对 这 三 层 完成 设备 选 型 ， 以 及 工程 师 应 该 分 
别 在 这 三 层 的 设备 上 部 署 哪些 技术 和 策略 。 

至 此 ， 我 们 已 经 对 于 企业 网 的 架构 进行 了 比较 充分 的 介绍 。 在 1. 3 节 中 ， 我 们 会 为 
”读者 对 企业 网 近期 的 发 展 趋势 作 一 个 简要 的 介绍 ， 帮 助 读者 了 解 企业 网 未 来 可 能 的 发 展 
方向 ， 以 及 一 些 相关 技术 术语 的 含义 。 


1.3 ”企业 网 发 展 趋势 
自从 计算 机 网 络 成 了 企业 办 公 的 标 配 之 后 ， 企 业 网 就 没有 停止 发 展 变化 。 近 年 来 ， 
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伴随 着 数据 通信 网 络 自 身 的 发 展 变化 ， 企 业 网 也 出 现 了 一 些 新 的 趋势 。 在 1. 3 节 中 ， 我 
们 会 对 企业 网 的 发 展 趋势 进行 简单 介绍 。 

对 于 普通 的 网 络 用 户 来 说 ， 近 年 来 除了 网 络 的 带宽 和 应 用 不 断 增加 之 外 ， 另 一 项 最 
直观 的 变化 是 接 入 网 络 的 设备 种 类 产生 了 显著 的 变化 : 从 互联 网 刚刚 开始 普及 时 的 台式 
(Desktop) 电脑 ， 到 20 世纪 末 开 始 出 现 的 笔记 本 (Laptop) 电脑 ， 到 十 年 前 开始 大 量 消 
现 的 平板 电脑 、 智 能 手机 ， 再 到 万 物 互 联 趋势 下 的 各 类 非 智能 设备 通过 终端 传感器 接 入 
网 络 。 短 短 十 年 间 ， 将 数据 通信 网 络 称 为 计算 机 网 络 〈Computer Network) 已 经 显得 十 
分 不 合 时 宜 ， 企 业 网 正在 由 传统 的 IT 企业 网 络 演 变 为 企业 物 联 网 。 在 2017 中 国 通信 行 
业 物 联网 大 会 上 ， 华 为 foT 解决 方案 首席 架构 师 张 露 峰 先 生 就 列举 了 这 样 一 组 数据 : 目 
前 已 有 超过 60% 的 商业 组 织 已 经 在 使 用 IoT 服务 ， 此 外 ，24% 的 IT 预算 已 经 被 用 于 IoT 
之 上 ， 而 63% 的 IoT 使 用 者 已 经 看 到 回报 。 

企业 物 联网 本 身 就 是 企业 网 发 展 的 趋势 ， 这 种 趋势 同时 又 催生 了 其 他 的 企业 网 发 展 
趋势 ， 比 如 无 线 接 入 在 企业 网 中 的 普及 。 在 企业 物 联 网 中 ， 越 来 越 多 需要 接 入 网 络 的 设 
备 〈 如 平板 电脑 ) 上 都 不 会 安装 有 线 网 络 适 配器 ， 就 连 笔 记 本 电脑 这 类 传统 上 配 有 有 线 
网 卡 的 设备 也 已 经 极 少 装备 有 线 网 卡 出 售 。 因 此 在 企业 网 中 ， 有 线 接 入 的 方式 必然 会 被 
逐渐 弱化 ， 而 BYOD 将 不 可 阻挡 地 成 为 企业 网 的 潮流 。 曾 几何 时 ， 会 议 室 圆 形 办 公寓 上 都 
会 伸 出 大 量 的 以 太 网 线 缆 。 如 今 ， 很 多 企业 网 现在 已 经 不 再 给 用 户 终端 提供 有 线 接 入 的 
条 件 ， 无 线 访问 已 经 成 为 终端 用 户 连接 接 入 层 设备 的 主流 方式 。 

无 线 作 为 主流 接 入 方式 也 导致 无 线 网 络 架 构 悄 然 发 生 了 变化 。 在 早期 的 WLAN 中 ， 
每 一 台 AP 都 可 以 独立 提供 所 有 的 无 线 AP 接 入 功能 ， 这 类 AP 称 为 胖 AP。 在 实施 网 络 时 ， 
管理 员 也 需要 在 为 数 不 多 的 AP 上 逐个 进行 配置 .这 种 每 全 AP 自主 提供 服务 的 WLAN 网 络 
架构 称 为 自治 式 架 构 ， 如 图 1-11 所 示 。 随 着 无 线 接 入 方式 主流 化 ，AP 也 开始 在 企业 中 
大 面积 地 进行 部 署 。 在 这 样 的 大 背景 下 ， 对 于 一 个 稍 具 规模 的 网 络 ， 采 用 逐个 AP 进行 配 
置 的 自治 式 架 构 展现 出 了 管理 操作 成 本 高 的 浆 端 。 当 前 , ;无 线 网 络 架 构 的 趋势 已 经 由 自 
治 式 架构 过 渡 到 了 集中 式 架 构 。 在 集中 式 架 构 中 , 胖 AP 的 数据 平面 和 控制 平面 解 耦 成 了 
两 类 独立 的 设备 类 型 。 数 据 平面 仍 为 AP， 这 类 AP 称 为 瘦 AP。 网 络 中 的 多 个 瘦 AP 通过 无 
线 控制 器 〈AC) 进行 统一 管理 ，A@ 即 集成 了 胖 AP 的 管理 平面 。 图 1-12 所 示 即 为 集中 式 
WLAN 架构 的 示意 。 

说 到 数据 平面 与 管理 平面 解 厢 ， 人 们 往往 会 立刻 联想 到 男 一 个 当前 企业 网 的 主流 趋 
势 ， 那 就 是 软件 定义 网 络 (CSDN) 。 在 过 去 ， 对 于 一 位 网 络 工程 师 来 说 ， 配 置 和 维护 企业 
网 的 过 程 一 直 是 以 设备 为 单位 一 一 进行 管理 配置 的 。 随 着 SDN 时 代 的 到 来 ， 这 种 传统 的 
网 络 管理 方式 有 可 能 会 在 未 来 几 年 间 被 彻底 颠覆 。 oma lle nt tise 
设备 进行 管理 配置 的 做 法 很 快 就 会 被 更 加 高 效 和 灵活 的 管理 方式 所 取代 ， 这 种 变化 与 
一 自然 段 介 绍 的 WLAN 架构 变更 有 异曲同工 之 妙 ， 只 是 这 一 pr 
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扩展 到 了 企业 网 的 其 他 网 络 设 备 。 在 未 来 的 企业 网 中 ， 工 程 师 在 管理 和 运 维 设备 时 ， 通 
过 在 网 络 的 控制 希 上 编写 或 修改 软件 的 方式 来 完成 。 由 工程 师 通过 修改 软件 来 实现 的 操 
作 会 通过 控制 器 下 达 给 企业 网 中 的 各 个 设备 ， 再 由 网 络 设备 统一 执行 。 





SEE 
”无 线 终端 无 线 终 端 无 线 终端 
图 1-11 传统 WLAN 的 自治 式 架 构 


无 线 控制 器 (AC) 包 =- … 国 
“i 
$ _ 
I 








二 一 一 >AC 与 瘦 AP 之 间 的 通信 
图 1-12 ”当前 WLAN 主流 的 集中 式 架 构 


当然 ， 近 年 来 与 “ 瘦 化 ”相关 的 网 络 技术 趋势 中 ， 为 一 项 最 频 绽 被 人 们 提 太 的 是 
云 计算 。 所 谓 云 计算 ， 残 是 将 大 量 用 户 日 常 使 用 的 资源 部 营 到 一 个 可 供 大 量 用 户 共 仓 
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的 资源 池 中 ， 用 户 在 需要 使 用 这 些 资源 的 时 候 则 通过 网 络 在 线 调 用 这 些 资 源 。 在 本 系 
列 教材 的 《网 络 基 础 》 中 ， 我 们 曾经 谈 到 过 云 服 务 提 供 商 同 客 户 企业 提供 云 服务 。 实 
际 上 ， 对 于 很 多 企业 来 说 ， 在 企业 网 内 部 部 普 仅 为 企业 员工 《和 访客 ) 服务 的 企业 私 
有 云 的 做 法 是 相当 常见 的 。 云 计算 还 远 不 仅 解 决 了 企业 物 联网 趋势 之 下 ， 各 类 接 入 网 
络 的 瘦 终 闹 计 算 资 源 不 足 的 问题 ， 更 可 以 让 用 户 随 时 按照 目 己 的 需要 灵活 配置 可 供 目 
己 使 用 的 计算 资源 ， 而 不 需要 再 像 过 去 一 样 近 照 目 己 所 需 计 得 资源 的 上 限 来 配置 自己 _ 
的 胖 终端 设备 。 


注 料 ， 

对 云 计 算 时 代 胖 瘦 终 端 使 用 这 一 话题 感 兴趣 的 读者 ， 可 以 参阅 William Stallings 教授 
与 Thomas Case 教授 合 著 的 《数据 通信 基础 设施 、 联 网 和 安全 》( 第 7 版 )9.7.2 节 ( 云 
计算 参考 结构 ) 中 的 应 用 注解 : 胖 还 是 瘦 一 一 这 是 一 个 问题 。 在 这 个 应 用 注解 中 ， 教 授 
用 9 个 自然 段 轻 松 简洁 的 文字 ， 对 胖 与 瘦 的 话题 进行 了 生动 的 评注 ， 其 中 有 一 个 自然 段 
的 内 容 还 涉及 了 我 们 上 文中 介绍 的 WLAN 架构 的 变迁 。 


在 本 系列 教材 《网 络 基础 》1. 1.2 节 (萌芽 的 产生 〉 中 ， 我 们 介绍 分 时 系统 〈《 网 
络 基础 》 图 1-1) 时 曾经 提 到 ， 分 时 系统 与 时 下 某 些 最 热门 的 技术 看 上 去 非常 类 似 ， 这 
个 时 下 最 热门 的 技术 指 的 其 实 就 是 云 计算 。 这 两 个 时 代 的 信息 技术 水 平 虽然 存在 天 壤 之 
别 ， 但 它们 存在 着 架构 上 的 相似 性 ， 那 就 是 计算 资源 的 集中 化 。 在 分 时 系统 被 广泛 应 用 
的 年 代 ， 计 算 机 上 的 计算 资源 属于 稀缺 资源 ， 当 时 的 模拟 电话 网 络 虽然 通信 能 力 有 限 ， 
但 电 传 打字 机 和 计算 机 之 间 也 只 需要 传输 简单 的 命令 。 在 这 样 的 大 背景 下 ， 分 时 系统 的 
存在 让 大 量 用 户 能 够 通过 网 络 共享 这 些 夭 缺 的 资源 。 在 当今 的 大 数据 时 代 ， 智 能 终端 需 
要 计算 的 数据 量 正在 呈 级 数 增长 ， 同 时 摩尔 定律 "已 经 失效 ， 而 网 络 带 宽 仍 在 以 较 快 的 
速率 增长 ， 计 算 资 源 再 次 成 为 了 相对 稀缺 的 资源 ， 因 此 集中 式 部 署 计算 资源 的 架构 势必 
会 因为 其 高 效 性 、 灵 活性 和 经 济 性 而 回归 人 们 的 视野 。 所 以 ， 读 者 如 果 在 查询 云 计 算 
的 相关 技术 时 发 现 一 些 文档 (包括 维基 百科 的 Cloud fomputing 词 条 ) 在 介绍 云 计算 
的 起 源 时 提 到 分 时 系统 ， 请 不 要 因 两 项 技术 在 时 代 和 核心 技术 方面 的 巨大 差异 而 觉得 难 
以 理解 。 和 

从 无 线 技术 、SDN、 云 计算 出 发 ， 我 们 还 可 以 深入 研究 企业 网 的 发 展 趋势 。 比 如 ， 
我 们 可 以 从 云 计 算 的 灵活 性 这 一 需求 延伸 出 虚拟 化 技术 在 企业 网 中 的 普及 ， 再 从 虚拟 设 
备 的 跨 广 播 域 迁移 延伸 出 大 二 层 技术 等 。 但 我 们 在 这 里 需要 指出 ， 网 络 会 随 着 用 户 的 需 
求 和 科技 的 发 展 不 断 变 化 ， 每 一 年 都 会 有 大 量 新 的 术语 涌现 ， 这 些 术 语 或 指 代 某 项 刚刚 


”摩尔 定律 : 集成 电路 上 可 以 容纳 的 晶体 管 数量 每 2 年 就 会 增长 一 倍 ， 性 能 也 会 随 之 翻 倍 。 这 是 由 英特尔 (Intel ) 
公司 的 联合 创始 人 与 名 誉 董事 长 戈 登 。 摩 尔 在 1965 年 提出 的 ， 后 于 1975 年 通过 在 IEEE 大 会 上 提交 的 论文 修改 
为 当前 的 版 本 。 


标准 化 的 特定 技术 或 产品 ， 或 指 代 一 种 各 个 厂商 仍 在 各 说 各 话 的 观念 ， 或 指 代 一 种 全 新 
的 网 络 架构 。 其 中 大 量 新 兴 概 念 都 适用 于 企业 网 环境 ， 或 者 因为 能 够 优化 企业 网 环境 而 
被 企业 网 采纳 。 本 书 不 可 能 穷 举 所 有 新 的 技术 趋势 。 我 们 推荐 每 一 位 华为 ICT 学 院 的 学 
生 、 每 一 位 本 书 的 读者 能 够 将 曾经 用 于 打 游 戏 、 逛 网 店 、 刷 朋友 圈 、 看 连续 剧 的 时 间 分 
出 一 小 部 分 ， 养 成 关注 IT 发 展 趋势 的 习惯 。 在 条 件 允 许 的 情况 下 , 应 该 设法 现场 出 席 或 
在 线 参 与 由 不 同 政府 、 研 究 机 构 、NG0O《〔〈 非 政府 机 构 ) 、 企 业 组 织 的 IT 创新 会 议 ， 关 注 
IT 的 前 沿 动 态 。 如 果 能 够 做 到 这 一 点 ， 读 者 必 将 获 益 恨 多 。 


作为 华为 ICT 学 院 路 由 交换 技术 第 3 册 教 材 的 开篇 ， 我 们 通过 一 章 的 篇 幅 为 读者 展 
示 了 企业 网 络 的 历史 与 发 展 ， 以 及 企业 网 的 分 层 模型 ， 这 也 是 为 了 展开 本 册 教 材 的 其 他 
章节 所 做 的 铺垫 。 

本 系列 教材 的 前 两 册 已 经 为 读者 介绍 了 动 何 搭建 基础 网 络 ， 本 册 教 材 将 在 此 基础 
上 ， 为 读者 介绍 出 于 不 同 目的 而 应 用 在 局 域 网 (尤其 是 企业 网 ) 中 的 各 种 技术 。 其 中 包 
括 为 了 实现 元 余 、 安 全 性 、 连 接 Internet、 构建 员 AN， 以 及 减轻 管理 员工 作 负 担 的 常用 
技术 。  ， 
读者 在 阅读 和 学 习 本 册 教 材 时 ， 可 以 把 自己 放 在 企业 网 络 管理 员 的 位 置 上 ， 这 样 不 
仅 可 学 习 各 种 技术 的 原理 和 配置 ， 更 能 够 理解 相关 技术 对 企业 网 络 带 来 的 好 处 。 


1.5 ”练习 题 


一 、 选 择 题 

1. 下 列 哪些 联网 设备 可 能 出 现在 企业 网 环境 中 ? (多 选 )( ) 

A. 用 户 终 疹 设备 B. 打印 机 C. IP 电话 D. 监控 摄像 头 
2. 网 络 化 办 公 为 传统 的 办 公 方 式 带 来 了 哪些 变化 ? (多 选 ) ( ) 

A. 信息 的 共享 更 便利 ， 更 环保 《〈 比 如 无 纸 办 公 ) 

B. 信息 的 储存 更 人 简单， 但 阅 更 轻松 (比如 建立 数据 库 并 检索 信息 》 

C. 信息 的 安全 性 更 高 ， 资 料 不 易 汇 露 〈 比 如 使 用 电子 化 数据 奉 换 纸张 ) 

D. 信息 的 发 布 更 快速 ， 能 够 准确 发 送 到 每 位 员工 的 介面 (比如 通过 电子 邮件 》 
3. 在 企业 网 的 体系 结构 中 ， 建 议 把 企业 网 分 为 以 下 哪 几 层 ? (多 选 ) ( ) 

A. 核心 层 B. 汇聚 层 C. 接 入 层 D. 宛 余 层 
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4. 如 果 要 对 企业 网 终 问 用 户 生 成 的 流量 进行 分 类 ， 管 理 员 最 好 在 哪 一 层 实施 标记 ? 
( ) 


A. 核心 层 B. 汇聚 层 C. 接 入 层 D. 宛 余 层 
5. 按 网 络 分 层 来 说 ， 在 小 型 企业 网 环境 中 可 以 忽略 哪 一 层 的 部 署 ? ( ) 
A. 核心 层 B. 汇聚 层 C. 接 入 层 D.， 宛 余 层 
6. 管理 员 通 稍 会 在 以 下 哪 层 中 实施 了 见 余 性 技术 ? (多 选 )( ) 

A. 核心 层 B. 汇聚 层 C. 接 入 层 D. 元 余 层 
二 、 判 断 题 

1. 在 设计 企业 网 时 ， 考 虑 到 未 来 的 扩展 性 ， 必 须 按 照 三 层 模型 进行 设计 。 


2. 在 企业 网 的 设计 中 , 管理 员 只 需要 在 Internet 出 口上 考虑 安全 性 问题 就 可 以 了 ， 
这 种 安全 顾 谍 可 以 通过 部 普 防 火场 、 入 侵 检 测 / 防 御 系 统 化 解 。 
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在 这 个 读书 、 工 作 、 学 习 、 投 资 、 休 闲 都 已 经 充分 数字 化 、 在 线 化 的 年 代 ， 网 络 中 
断 常常 意味 着 人 们 什么 都 不 能 做 。 随 着 人 们 对 网 络 的 依赖 性 越 来 越 高 ， 网 络 工程 师 需要 
保证 网 络 能 够 7X24h 不 间断 为 人 们 提供 服务 。 在 这 一 章 中 , 我 们 会 向 读者 介绍 3 项 可 以 
提升 网 络 可 靠 性 的 技术 。 在 这 3 项 技术 中 ， 第 一 项 技术 可 以 给 网 络 提供 检测 连通 性 的 机 
制 ， 另 外 两 项 技术 则 站 在 增加 网 络 的 元 余 性 ， 确 保 网 络 在 某 些 环节 发 生 故障 时 依然 能 够 
正常 运行 ， 避 免 单 点 故障 的 发 生 。 值 得 一 提 的 是 ， 要 想 确保 网 络 的 可 靠 性 ， 工 程 师 在 设 
计 网 络 时 就 应 该 把 这 些 技术 考虑 在 内 ， 而 不 要 等 到 在 网 络 已 经 出 现 故 障 、 或 网 络 中 已 经 
存在 单 点 故障 的 风险 之 后 再 亡 羊 补 第 ， | 


ee EE 


c 入。 理解 BFD 的 功能 与 工作 原理 ; 


‘本 cy 。 了 解 BFD 的 报 文 格式 ; 
: 目 c > ”掌握 VRRP 的 工作 原理 ; : 
: 标 i 。 掌握 VRRP 的 配置 方法 ; ' 
”了 。 理 解 链 路 聚合 的 作用 ; 


| ”| 。 学 握 链 路 聚 稣 的 工作 模式 ; 
: ”| : 掌握 链 路 聚合 的 配置 方法 ， 


eh EEE EE 


网 络 可 菲 性 的 一 项 重要 标准 在 于 这 个 网 络 是 否 能 够 快速 复原 ， 有 些 技术 资料 称 之 为 
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网 络 的 弹性 (Resilience) 。 快 速 复原 能 力 一 般 是 指 网 络 不 借助 技术 人 员 的 干预 就 自动 
恢复 的 能 力 ， 因 此 网 络 要 想 具 备 快速 复原 能 力 ， 就 必须 首先 拥有 一 种 能 够 检测 出 网 络 中 
故障 的 机 制 ， 否则 恢复 也 就 无 从 谈 起 ,而 2. 1 节 要 介绍 的 双向 转发 检测 (Bidirectional 
Forwarding Detection，BFD) 就 是 这 样 一 项 技术 。 


2.1.1 BFD 概述 


根据 2.1. 1 节 引 入 部 分 的 介绍 ， 读 者 应 该 已 经 大 致 了 解 了 BFD 的 作用 。 部 署 BFD 就 
像 给 网 络 安装 了 故障 自 检 | 系 统 ， 让 网 络 设备 能 够 更 快 地 发 现 相 邻 设 备 之 间 的 通信 已 经 中 
断 ， 以 便 尽快 采取 有 针对 性 的 措施 来 促进 网 络 快速 复原 。 

人 不过， 通过 《网 络 基 础 》 租 《路 由 交换 技术 》 的 学 习 ， 读 者 也 应 该 知道 很 多 人 在 拱 
建 网 络 时 采用 的 介质 和 技术 目 身 就 提供 了 错误 检测 机 制 ， 璧 如 很 多 协议 中 引入 的 
Hello/Keepalive《〈 保 活 ) 数据 包 与 老化 计时 噩 机 制 ， 就 可 以 让 这 种 协议 能 够 在 通信 出 现 
故障 时 发 现 问题 。 然 而 ， 并 不 是 通过 所 有 方式 建立 的 通信 都 具备 这 样 的 通信 故障 检测 机 
制 ， 比 如 对 于 管理 员 手 动 配 置 的 静态 路 由 条 目 ， 路 由 器 就 没有 配套 机 制 可 以 了 解 它 们 对 
应 的 下 一 跳 设 备 是 否 仍然 可 达 。 除 了 不 有 具备 统一 的 检 错 机 制 会 显著 降低 网 络 的 快速 复原 
能 力 之 外 ， 很 多 技术 目 融 的 检 错 机 制 效 率 很 低 ， 常 常 无 法 满足 某 些 应 用 的 需求 。BFD 同 
时 解决 子 这 两 大 问题 ， 它 不 仅 检 钳 效 率 高 ， 而 且 适 用 于 广泛 的 介质 ， 能 够 给 大 量 的 协议 
提供 错误 检测 服务 ， 这 是 读者 在 设计 网 络 时 应 该 部 署 这 项 技术 的 原因 。 

BFD 提供 的 服务 很 容易 理解 ， 下 面 我 们 来 介绍 一 下 BFD 提供 这 种 服务 的 机 制 。 


2.1.2 BFD 的 工作 机 制 


BFD 采取 的 通信 故障 检测 方式 与 Hello 消息 采用 的 方式 十 分 类 似 ， 这 个 以 UDP 作 
为 传输 层 协议 的 协议 可 以 算是 一 种 轻 量 级 的 Hello 协议 。 有 具体 来 说 , 在 检测 通信 故障 
之 前 , BFD 对 等 体 之 间 也 需要 首先 建立 会 话 , 然后 再 通过 这 条 对 等 体 之 间 建 立 的 会 话 来 
周期 性 地 发 送 故 障 检测 消息 。 如 果 一 台 BFD 设备 在 指定 时 间 内 没有 接收 到 BFD 对 等 体 
发 送 过 来 的 检测 消息 , 那么 它 就 会 认为 自己 与 对 等 体 之 间 的 通信 出 现 了 故障 , 如 图 2-1 
所 示 。 

为 了 建立 BFD 会 话 ， 对 等 体 之 间 需 要 首先 完成 3 次 握手 ，3 次 握手 的 会 话 建立 过 程 
同时 也 是 参数 协商 过 程 。 如 果 对 等 体 之 间 完 成 了 BFD 3 次 握手 ， 那 么 它们 也 就 完成 了 状 
态 迁 移 并 进入 BFD UP 状态 。 

既然 涉及 状态 迁移 ， 就 有 对 应 的 状态 机 。 作 为 一 种 轻 量 级 Hello 协议 ，【〔 如 果 不 考 
虑 因为 管理 员 没 有 在 设备 上 局 用 BFD 协议 而 导致 BFD 处 于 管理 DOWN 的 状态 ) BFD 共有 3 
种 状态 ， 它 们 是 DOWN、INIT 和 UP。BFD 的 状态 迁移 过 程 相当 简单， 下 面 我 们 来 简单 介绍 
一 下 BFD 对 等 体 之 间 的 状态 迁移 过 程 。 
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图 2-1 BFD 的 工作 方式 


首先 ， 当 管理 员 在 两 台 设 备 上 启用 BFD 之 后, 它们 的 初始 状态 都 是 DOWN。 此 时 ，BFD 
设备 会 问 对 端 发 送 BFD 消息 ，BFD 消 奶 中 会 携带 始 发 设备 当前 的 状态 ， 如 图 2-2 所 示 。 


斑 -一 
DOWN | 下 
powN 






ARI 


图 2-2 BFD 的 DOWN 状态 


当 一 台 处 于 DOWN 状态 的 BFD 设备 接收 到 状态 为 DOWN 的 BFD 消息 之 后 ， 它 就 会 进入 
INIT 状态 ， 状 态 为 INIT 的 设备 发 送 的 BFD 消息 状态 也 会 变 为 INIT， 如 图 2-3 所 示 。 





DOwN | LDOWN | DOWN | INIT Li 
i 二 一 _ Ce-- 一 -一 D0- 
ARI 和 AR2 


图 2-3 BFD 的 INIT 状态 

在 图 2-3 中 ， 图 2-2 的 AR2 接收 到 了 AR1 发 送 的 DOWN 消息 ， 因 此 AR2 进行 了 状态 

迁移 ， 并 开始 向 AR1 发 送 状 态 为 驯 IT 的 BFD 消息 。 同 时 ， 由 于 AR1 此 时 还 没有 接收 到 

AR2 发 送 的 DOWN 消息 ， 因 此 AR1 仍然 在 周期 性 地 向 AR2 发 送 状态 为 DOWN 的 消息 。 对 于 

状态 为 INIT 的 BFD 设备 ， 它 会 忽略 后 续 状 态 为 DOWN 的 消息 。 因 此 ， 在 图 2-3 的 下 一 个 

状态 中 ，AR1 会 接收 到 AR2 发 送 的 DOWN 消息 并 切换 为 INIT 状态 ， 但 AR2 由 于 已 经 进入 

了 INIT 状态 ， 因 此 它 不 会 处 理 AR1 发 来 的 DOWN 消息 。 这 个 过 程 十 分 简单 ， 我 们 不 再 通 
过 图 示 进 行 说 明 。 

同 理 ， 当 处 于 三 种 状态 (DOWN/INIT/UP〉 中 任何 一 种 状态 的 设备 接收 到 状态 为 INIT 

的 BFD 消息 之 后 ， 它 都 会 进入 UP 状态 ， 状 态 为 下 的 设备 发 送 的 BFD 消息 状态 也 会 变 为 
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UP， 如 图 2-4 所 示 。 







rr 





图 2-4 ”BFD 的 UP 状态 


在 图 2-4 中 ， 由 于 图 2-3 中 AR2 首先 迁移 到 了 INIT 状态 并 开始 向 AR1 发 送 状 态 为 
INIT 的 BFD 消息 ， 因 此 AR1 首先 接收 到 了 AR2 发 送 的 IT 消息 ，AR1 迁移 到 了 UP 状态 
后 开始 向 AR2 发 送 状 态 为 UP 的 BFD 消息 。 同 时 ， 由 于 AR1 迁移 到 INIT 状态 的 时 间 比 较 
晚 ， 因 此 AR2 还 没有 接收 到 AR 发 送 的 INIT 消息 。 

当 一 台 BFD 设备 的 状态 由 DOWN 迁移 到 INIT 之 后 ， 它 就 会 开始 启动 超时 计时 器 ， 只 
要 超时 计时 器 过 期 之 前 它 仍然 没有 接收 到 对 端 发 送 过 来 的 BFD 消息 ， 那 么 无 论 此 时 该 设 
备 的 状态 为 INIT 还 是 tP， 它 都 会 直接 进入 DOWN 状态 : 如 果 它 接收 到 的 BFD 消息 状态 为 
DOWN， 它 也 会 直接 进入 DOWN 状态 。 这 也 就 是 说， UP 状态 不 会 回 退 到 INIT 状态 ， 它 只 会 
直接 回 到 DOWN 状态 。 


注 粹 : . 
如 果 一 人 台 处 于 DOWN 状态 的 设备 直接 接收 到 了 状态 为 UP 的 BFD 消息 , 它 会 忽略 
这 个 消息 ， 而 不 会 直接 过渡 到 INIT 状态 或 者 UP 状态 。 : 


BFD 的 接口 状态 机 逻辑 十 分 简单 ， 我 们 在 2. 1. 2 节 中 已 经 充分 介绍 了 触发 BFD 接口 
状态 机 的 几 种 情况 。 在 这 里 ， 我 们 在 章 末 练习 题 之 外 先 给 读者 留 下 一 道 画 图 题 : 请 读者 
能 够 根据 2. 1. 2 节 中 的 文字 描述 ， 画 出 BFD 状态 机 的 迁移 流程 ， 图 中 包含 BFD 状态 机 迁 
移 的 触发 条 件 。 

在 介绍 了 BFD 的 状态 之 后 ，2. 1. 3 节 将 介绍 BFD 的 报 文 格式 。 


2.1.3 BFD 的 报 文 格式 


在 《网 络 基 础 》 和 《路 由 与 交换 技术 》 中 我 们 也 曾经 提 到 过 ， 一 项 协议 提供 的 服务 
需要 通过 定义 这 个 协议 的 头 部 字段 来 落实 。 既 然 这 样 ， 我 们 可 以 分 析 一 下 BFD 的 协议 报 
文 ， 了 解 BFD 是 如 何 实现 协议 功能 的 。 

BFD 的 头 部 封装 格式 如 图 2-5 所 示 。 

下 面 ， 我 们 结合 图 2-5 介绍 BFD 头 部 封装 格式 中 各 个 字段 的 表意 。 

e 版本: 版 本 字段 与 IPv4 数据 包头 部 的 作用 类 似 ， 用 来 标识 这 个 数据 包 的 BFD 

版 本 。 目 前 这 个 字段 的 取 值 固定 为 “1”。 
e。 诊断 字 : 这 个 字段 的 作用 是 标识 本 地 设备 最 近 一 次 BFD 状态 发 生变 化 的 原因 。 
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8 比特 8 比特 


ii 
[a] mn 
本 地 鉴别 符 (My Discriminator) 
对 端 鉴别 符 (Your Discriminator ) 











支持 最 小 发 送 间 隔 (Desired Min Tx Interval ) 


志 持 最 小 接收 间隔 (Desired Min Rx Interval) 


支持 最 小 回声 接收 间隔 (“Desired Min Echo Rx Interval) 
认证 类 型 认证 长 度 认证 数据 《〈 长 度 可 变 ) 


图 2-5 ”BFD 头 部 封装 格式 


状态 : 如 果 有 心 ， 学 习 了 2. 1. 2 节 的 读者 应 该 在 看 到 图 2-5 时 就 开始 主动 寻找 
这 个 字段 ， 因 为 我 们 2. 1. 2 节 的 内 容 实 际 上 都 是 围绕 着 这 个 字段 展开 的 。 这 个 
字段 的 长 度 为 2 比特 ， 因 此 可 以 取 4 个 值 : 这 个 字段 取 值 为 “0” 表 示 本 地 设备 
管理 关闭 了 BFD; 取 值 为 “1” 表 示 本 地 设备 当前 BFD 状态 为 DOWN; 取 值 为 “2” 
表示 当前 BFD 状态 为 INIT;， 取 值 为 “3” 表 示 当 前 状态 为 UP。 

超时 检测 倍数 : 在 默认 模式 下 ，BFD 设备 会 周期 性 地 发 送 BFD 消息 向 对 端 通告 
自己 的 存在 。 如 果 一 台 BFD 设备 在 超时 时 间 周 期 内 都 没有 接收 到 对 端 发 送 的 BFD 
消息 ， 那 么 这 台 设 备 就 会 认为 与 对 方 设备 的 通信 出 现 了 故障 。 这 个 字段 的 作用 
是 标识 本 地 设备 的 超时 时 间 周 期 ， 是 发 送 周期 的 多 少 倍 。 

长 度 : 长 度 字段 的 作用 与 IP 数据 包头 部 的 作用 类 似 , 用 来 表示 这 个 BFD 头 部 所 
封装 的 数据 长 度 。 | 

本 地 鉴别 符 : 一 对 BFD 对 等 体 之 间 未 必 彼 此 通过 介质 直 连 。 因 此 ，BFD 消息 中 
需要 有 专门 的 字段 用 来 告知 对 端 这 是 来 自 哪个 BFD 会 话 的 消息 ， 本 地 鉴别 符 的 
作用 就 在 于 此 。 如 果 BFD 会 话 是 动态 建立 的 ， 那 么 系统 会 给 每 个 会 话 的 BFD 消 
息 自动 分 配 一 个 本 地 鉴别 符 值 。 如 果 BFD 会 话 是 静态 建立 的 ， 那 么 本 地 鉴别 值 
则 是 管理 员 静 态 配置 的 数值 。 

对 端 鉴别 符 : 如 果 BFD 会 话 是 动态 建立 的 ， 那 么 当 BFD 设备 接收 到 对 端 发 送 的 
BFD 消息 时 ， 它 会 用 该 消息 中 本 地 鉴别 符 字段 中 封装 的 数值 ， 作 为 自己 在 这 段 
会 话 中 给 对 等 体 发 送 BFD 消息 时 使 用 的 对 端 鉴别 符 字 段 的 值 。 如 果 BFD 会 话 是 
静态 建立 的 ， 那 么 本 地 鉴别 值 和 对 端 鉴别 值 则 都 需要 由 管理 员 进 行 静态 配置 。 
支持 最 小 发 送 间隔 : 这 个 字段 的 作用 顾名思义 ， 它 标识 了 这 人 台 BFD 设备 文 持 的 
最 小 BFD 消息 发 送 间 隔 。 

支持 最 小 接收 间隔 : 这 个 字段 标识 了 这 台 BFD 设备 支持 的 最 小 BFD 消息 接收 间 隅 。 
支持 最 小 回声 接收 间隔 : 这 个 字段 的 作用 是 标识 这 台 BFD 设备 文 持 的 最 小 回声 
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(Echo) 消息 接收 间隔 。 

e。 ”认证 类 型 : 认证 类 型 字段 是 可 选 字 段 。 如 果 管 理 员 局 用 了 BFD 认证 ， 那 么 BFD 
消息 中 就 会 携 市 这 个 字段 来 标识 管理 员 指 定 的 认证 类 型 。BFD 文 持 5 种 类 型 的 
认证 ， 包 括 明文 密码 认证 《类 型 字段 取 值 为 “1”) 和 加 密 MD5 认证 (类 型 字段 
取 值 为 “2”) 等 。 

e 认证 长 度 : 既然 认证 类 型 是 可 选 字 段 ， 认 证 长 度 当 然 也 是 可 选 字 段 。 如 果 管 理 
员 启 用 了 BFD 认证 ， 那 么 BFD 消息 中 就 会 携带 这 个 字段 来 标识 认证 类 型 字段 、 
认证 长 度 字 段 和 认证 数据 字段 这 3 个 字段 的 总 长 度 。 

。 ”认证 数据 : 这 一 部 分 顾名思义 就 是 认证 的 数据 部 分 。 显 然 ， 这 个 字段 的 长 度 不 
是 固定 的 。 和 

通过 上 面 3 市 的 介绍 ， 读 者 已 经 基本 了 解 了 BFD 的 工作 方式 。 下 面 我 们 简单 说 明 一 

下 动态 建立 的 BFD 会 话 是 如 何 通 过 检测 故障 来 影响 通信 的 。 
图 2-6 所 示 为 管理 员 在 0SPF 进程 下 局 用 了 BFD， 让 BFD 来 检测 0SPF 的 通信 故障 。 


CE oF 计 、 | AP ng 
_( BFD， 这 是 AR2 的 信息 ， _( QBFD, 我 是 OSPF, 帮 
Ge 帮 我 随时 检测 我 们 。 、 “) C 我 盯 着 点 我 和 AR1 之 加 “) 
“之 间 的 通信 情况 )- 一 CQ ”的 通信 状况 > 
i 广 -一 琶 TAR a 2 
A LE a 
a 尼 动 & > 


步 可 1 建立 OSPF 邻居 








ein 











i i 
二 @ 没 问题 ， 交 给 我 吧 、、 之 We 过 ”Gd 芝 -天 


a A 


图 2-6 ”BFD 会 话 的 建立 








SS 


图 2-6 展示 了 BFD 开始 检测 故障 之 前 经 历 的 3 个 步 又: 
步骤 1 0SPF 建立 了 邻居 关系 ; 
步骤 2 0SPF 将 邻居 信息 通告 给 了 BFD; 
步骤 3 BFD 则 利用 这 些 信息 建立 了 会 话 ， 并 日 通过 这 段 会 话 周期 性 地 相互 发 送 消 
县 来 检测 故 隐 。 
此 时 ， 如 果 AR1 和 AR2 之 间 的 通信 因为 链 路 故障 而 中 断 ， 那 么 BFD 就 会 迅速 检测 出 
通信 中 断 的 情况 ， 如 图 2-7 所 示 。 
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图 2-7 BFD 向 0SPF 通告 链 路 故障 


图 2-7 展示 了 BFD 检测 到 故障 发 生 并 通告 链 路 故障 时 经 历 的 3 个 步骤 : 
步 又 1 -BFD 因 在 指定 时 间 内 没有 接收 到 对 端的 BFD 消息 而 迅速 检测 出 了 AR1 与 AR2 
之 间 的 通信 故障 ， 同 时 BFD 的 状态 也 由 UP 变 为 了 DOWN; 

步骤 2 BFD 向 0SPF 通告 邻居 已 经 不 可 达 的 信息 ; 

步骤 3 0SPF 断 开 邻居 关系 ，0SPF 网 络 也 会 开始 重新 收敛 。 

静态 建立 的 BFD 会 话 检测 通信 故障 的 方式 也 是 类 似 的 ， 比 如 管理 员 就 可 以 使 用 BFD 
来 检测 本 地 路 由 器 上 某 条 静态 路 由 条 目的 下 一 跳 路 由 器 是 和 否 仍 然 可 达 。 当 然 ， 静 态 路 由 
并 不 会 向 BFD 通告 邻居 信息 ， 因 此 当 管 理 员 和 希望 使 用 BFD 来 检测 静态 路 由 通信 故障 时 ， 
就 需要 通过 手动 配置 本 地 鉴别 符 和 对 端 鉴 别 符 的 方式 ， 证 双方 设备 之 间 建 立 静 态 BFD 会 
话 。 另 外 ， 静 态 路 由 也 不 会 重新 收敛 ， 如 果 BFD 检测 到 革 条 静态 路 由 条 目的 下 一 跳 已 经 
变 为 不 可 达 ， 那 么 BFD 就 会 将 这 条 路 由 设置 为 “ 非 激 活 ” 状 态 ， 此 后 路 由 器 不 能 再 使 用 
这 条 路 由 来 进行 转发 ， 直 到 BFIE 重 新 建立 会 话 之 后 ， BFD 才 会 将 这 条 路 由 条 目 重 新 恢复 
为 “激活 ”状态 。 

在 2. 1 节 中 ， 我 们 简单 地 介绍 了 BFD 的 工作 原理 。 


2.2 ”第 一 跳 完 余 协议 


第 一 跳 见 余 协 议 (First Hop Redundancy Protocol1，FHRP) 并 不 是 指 一 项 特定 的 
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协议 ， 这 个 名 词 就 像 路 由 协议 (Routing Protocol) 一 样 ， 是 一 类 协议 的 总 称 。 这 类 协 
议 所 提供 服务 的 共同 特点 驶 是 为 终端 设备 提供 网 关 的 元 余 ， 因 为 对 于 局 域 网 中 的 终端 设 
备 来 说 ， 局 域 网 的 网 关 就 是 它们 经 历 的 第 一 跳 路 由 设备 ， 配 置 在 终 疡 设备 上 的 默认 网 关 
其 实 也 就 是 一 条 将 下 一 跳 指 问 网 关 设 备 连 接 局 域 网 接口 的 默认 路 由 。 

对 于 一 个 局 域 网 来 说 ， 网 关 设 备 是 连接 局 域 网 和 外 部 网 络 的 桥 染 ， 局 域 网 与 网 关 设 
备 之 间 的 通信 断 开 也 就 意味 大 局 域 网 中 所 有 终 妆 断 开 了 与 外 部 网 络 的 通信 ， 比 如 在 第 1 
草图 1-3 所 示 的 网 络 中 ， 只 要 交换 机 与 路 由 峰之 间 的 链 路 、 这 条 链 路 两 端的 任何 一 个 端 
口 、 路 由 器 、 路 由 需 连 接 Internet 的 链 路 或 者 这 条 链 跨 移 端 口 任意 一 点 出 现 故 障 ， 所 有 
终 疹 都 会 失去 与 Internet 的 连接 。 考虑 到 网 关 设 备 的 重要 性 ， 人 们 采用 部 署 元 余 网 关 的 
设计 方案 也 就 顺理成章 了 。 在 她 .2 节 中 ， 我 们 会 介绍 一 项 在 部 着 元 余 网 关 时 最 常用 的 
FHRP， 即 虚拟 路 由 器 元 余 协 议 (Virtual Routetr Redundancy Protocol, VRRP) 。 


2.2.1 VRRP 概述 


为 了 避免 上 文 所 说 的 这 种 单 点 故障 的 隐患 |， 最 直接 的 想法 是 让 交换 机 通过 两 条 上 行 
链 路 分 别 连 接 两 台 路 由 堪 ， 这 两 台 路 由 器 再 分 别 与 Internet 相连 ， 如 图 2-8 所 示 。 







路 由 器 B 


a 
路 由 器 A © 
~ 


交换 机 









全 (AP) 


NS 
名 “人 人 NN 
< .这 这 这 


无 线 终 端 无 线 终端 有 线 终端 ” 有 线 终端 ” 有 线 终端 有 线 终端 
图 2-8 一 个 包含 了 见 余 网 关 的 小 型 网 络 


从 功能 上 看 ， 这 个 拓扑 足以 避免 与 网 关 相 关 的 单 点 故障 ， 但 如 果 没 有 配套 机 制 ， 这 


种 设计 方案 却 存在 实现 方面 的 问题 。 在 《网 络 基础 》 一 书 配套 实验 手册 的 图 3-10 中 , 读 
者 可 以 清楚 地 看 到 ， 系 统 配置 项 中 只 能 输入 一 个 默认 网 关 ， 并 不 存在 备用 默认 网 关 的 设 








动 
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置 。 这 也 就 是 说 ,网 络 中 需要 一 种 机 制 能 够 让 元 余 网 关 设 备 工 作 起 来 像 是 一 台 网 关 设 备 ， 
而 我 们 这 一 节 要 介绍 的 VRRP 就 提供 了 这 样 一 种 机 制 。 
虚拟 化 技术 的 种 类 多 种 多 样 ， 我 们 在 《路 由 与 交换 技术 》 中 介绍 的 VLAN 技术 属于 
一 种 可 以 将 单一 广播 域 通过 虚拟 化 手段 虚拟 为 多 个 广播 域 的 虚拟 化 技术 ， 而 2. 2. 1 节 我 
们 要 介绍 的 VRRP 则 正好 相反 ， 这 个 协议 提供 了 将 多 人 台 路 由 器 虚拟 成 一 台 路 由 器 的 服务 。 
通过 虚拟 化 手段 ， 我 们 可 以 将 多 台 物 理 设备 在 逻辑 上 合并 为 一 台 虚 拟 设 备 ， 同 时 让 这 
些 物理 路 由 器 对 外 隐藏 各 目的 信息 ， 以 便 针 对 其 他 设备 提供 一 致 性 的 服务 ， 如 图 2-9 所 示 。 





VRRP 路 由 器 A VRRP 路 由 器 B 





We 


| 


VRRP 组 “虚拟 路 由 器 六 VRID 1 | 
虚拟 卫 地 址 : 10.1.1.124 | 
虚拟 MAC 地 址 ; 00-00-5E- 00-0101 ; 

局 域 网 接口 IP 地 址 : ， | 


NS “ 局 域 网 接口 IP 地 址 : 
10.1.1.1/24 1011224 





接 入 点 (AP) 


无 线 终端 有 线 终端 。 ”有 线 终 端 “ 有线 终端 。 有 线 终端 
IP 地 址 : IP 地 址 : PP 地址: JP 地 址 : IP 地 址 : 
LO Et 100/24 10.1.1.101/24 10.1.1.10/24 10.1,1,11/24 纺 0.1. 1.12/24 10.1.1.13/24 
网 关 地 址 : 网 关 地 址 : 。 网 关 地 址 : ”网 关 地 址 : ” 网 关 地 址 : 
10.1 1.1/24 10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 


图 2-9 使 用 了 VRRP 环境 的 逻辑 拓扑 
可" 


如 果 我 们 在 图 2-8 所 示 的 物理 拓扑 中 配置 了 VRRP， 将 路 由 器 A 和 路 由 器 B 连接 
交换 机 的 接口 配置 成 一 个 VRRP 组 ， 两 台 路 由 器 的 接口 就 会 对 外 使 用 相同 的 IP 地 址 
(10.1.1.1/24) 和 MAC 地 址 (00-00-5E-00-01-01) 进行 通信 。 此 时 ， 管 理 员 只 需要 在 所 
有 终端 设备 上 将 这 个 IP 地 址 (10. 1. 1. 1/24) 设置 为 默认 网 关 的 地 址 ， 就 可 以 实现 网 关 
设备 的 元 余 。 当 其 中 一 人 台 路 由 器 出 现 故 障 时 , 在 这 个 局 域 网 与 Internet 之 间 路 由 数据 包 
的 操作 虽然 会 由 一 台 设 备 迁 移 到 另 一 台 设 备 ， 但 是 终端 设备 完全 不 知道 原本 的 网 关 设 备 
发 生 了 故障 ， 而 当前 充当 网 关 的 已 经 变 成 了 男 一 台 路 由 设备 一 一 因为 虽然 实际 为 它们 提 
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供 流 量 转发 的 设备 已 经 发 生 了 切换 ,但 它们 仍然 在 使 用 原本 的 IP 地 址 和 MAC 地 址 来 发 送 
需要 由 原先 网 关 设 备 转发 的 流量 。 所 以 说 ， 无 论 是 在 网 关 设 备 切换 前 ， 还 是 网 关 设 备 切 
换 后 ， 终 站 设备 都 认为 这 个 网 络 的 迎 辑 拓扑 其 实 就 是 第 1 章 中 图 1-1 所 示 的 拓扑 。 

在 2.2.1 世 中 ， 我 们 摘 述 了 VRRP 提供 的 服务 。 在 2. 2. 2 节 中 ， 我 们 会 对 VRRP 的 工 
作 原 理 进行 们 单 的 介绍 。 


2.2.2 VRRP 工作 原理 


在 2.2.1 世 中 ， 我 们 曾经 提 到 ，VRRP 可 以 在 网 关 路 晶 器 出 现 故 障 时 ， 让 男 一 台 同 处 
一 个 VRRP 组 中 的 设备 继续 为 局 域 网 与 Internet 之 间 执 行 数 据 转发 。 这 实际 上 从 侧面 说 
明了 参与 同一 个 VRRP 组 的 路 由 器 并 不 会 同时 都 参与 转发 ，VRRP 路 由 器 的 角色 分 为 主 用 
(Master) 和 备用 〈Backup ) 两 种 x 只 有 主 用 路 由 砷 才 会 为 局 域 网 和 Internet 之 间 的 流 
量 执行 转 友 ， 而 备用 路 由 器 只 会 监听 主 用 设备 的 状态 ， 这 是 为 了 在 主 用 设备 出 现 故 障 时 
能 够 及 时 接替 主 用 设备 。 


注 炉 : | 

主 用 VRRP 路 由 器 和 备用 VRRP 路 由 器 实际 上 指 的 都 是 路 由 器 的 接口 ， 而 不 是 路 
由 器 。 鉴 于 读者 已 经 在 学 习 OSPF 时 ,学 习 过 指定 路 由 器 (DR ) 和 备份 指定 路 由 器 ( BDR ) 
的 概念 ,因此 读者 应 该 不 难 理解 参与 主 用 /备用 路 由 器 选举 的 网 络 实体 实际 上 是 路 由 器 接 
口 这 一 情形 。 由 于 技术 术语 与 网 络 实体 存在 偏差 是 既成 的 事实 ， 读者 在 阅读 后 面 的 文字 
时 应 该 保持 清醒 。 为 了 帮助 读者 熟悉 这 一 概念 ， 在 下 面 的 术语 介绍 中 ， 我 们 会 使 用 “路 
由 器 ( 接口 ) ”的 方式 来 提醒 读者 ，VRRP 路 由 器 其 实 指 的 是 路 由 器 接口 。 


为 了 说 清楚 VRRP 的 工作 原理 ， 我 们 有 必要 首先 对 一 些 VRRP 术语 进行 说 明 ， 读 者 不 
妨 参 照 图 2-9 来 理解 下 面 的 说 明 。 

。 VRRP 组 : 当 管 理 员 为 了 实现 网 关 设 备 的 元 余 而 通过 配置 的 手段 ， 将 连接 在 同一 
个 局 域 网 中 的 一 组 YRRP 路 由 器 (接口 ) 划分 到 同一 个 逻辑 网 关 ( 接 口 ) 组 中 ， 
让 它们 充当 这 个 局 域 网 中 终端 设备 的 主 用 /备用 网 关 时 ,管理 员 所 创建 的 这 个 逻 
辑 组 就 是 VRRP 组。 这些 由 VRRP 路 由 器 《连接 在 相同 局 域 网 中 的 接口 ) 所 组 成 
的 馆 辑 组 , 在 这 个 局 域 网 中 的 终端 看 来 就 像 是 一 台 网 关 路 由 器 ,因此 VRRP 组 也 
称 为 虚拟 路 由 器 。 例 如 ， 在 图 2-9 中 ，VRRP 路 由 器 A 和 VRRP 路 由 器 B 连接 局 
域 网 交换 机 的 接口 就 被 划分 到 了 同一 个 VRRP 组 中 ， 这 个 VRRP 组 在 终端 设备 看 

来 也 就 是 一 全 虚拟 路 由 器 。 
。 虚拟 IP 地 址 : 由 于 在 一 个 VRRP 组 中 ， 多 个 路 由 器 《的 接口 ) 需要 作为 一 台 虚 
拟 路 由 器 对 外 提供 服务 。 因 此 ， 这 些 路 由 器 《接口 ) 需要 对 外 使 用 相同 的 IP 
地 址 来 响应 终端 发 送 给 默认 网 关 目 的 IP 地 址 的 流量 , 这 个 IP 地 址 也 就 是 VRRP 
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注 粹 : 


组 的 虚拟 IP 地 址 。 在 图 2-9 中 ，VRRP 组 (虚拟 路 由 器 〉 的 虚拟 IP 地 址 为 
Eo. 1 二 工本。 


同一 个 VRRP 组 可 以 有 多 个 虚拟 了 P 地址 ， 但 不 同 VRRP 组 的 虚拟 IP 地 址 不 能 相同 。 


IP 地 址 拥有 者 : 如 果 虚 拟 IP 地 址 是 菜 一 个 VRRP 设备 的 真实 IP 地 址 ， 那 么 这 
台 设备 就 是 IP 地 址 拥有 者 。 比 如 ， 在 图 2-9 中 ，YRRP 组 (虚拟 路 由 器 ) 的 虚 ， 
拟 IP 地 址 为 10. 1.1.1/24， 这 个 IP 地 址 与 VRRP 路 由 器 A 局 域 网 接口 的 IP 地 
址 相同 ， 因 此 VRRP 路 由 器 A 就 是 这 个 VRRP 组 的 IP 地 址 拥有 者 。 

虚拟 MAC 地 址 : 由 于 在 一 个 YRRP 组 中 ， 多 个 路 由 器 (的 接口 ) 需要 作为 一 台 虚 
拟 路 由 器 对 外 提供 服务 。 因 此 ， 这 些 路 由 器 《接口 ) 需要 对 外 使 用 一 个 不同 
于 自己 实际 MAC 地 址 的 ) 一 致 的 虚拟 MAC 地 址 来 响应 终端 发 送 给 默认 网 关 流 量 
的 目的 MAC 地 址 ， 这 个 MAC 地 址 也 就 是 VRRP 组 的 虚拟 MAC 地 址 ， 所 以 虚拟 MAC 
地 址 与 VRRP 组 (的 组 ID) 之 间 存 在 对 应 关系 。 在 图 2-9 中 ，VRRP 组 (虚拟 路 
由 堆 ) 的 虚拟 MAC 地 址 为 00-00-5E-00-01=01。 

VRID: 同一 个 VRRP 路 由 器 (接口 ) 有 时 需要 参与 多 个 VRRP 组， 因此 需要 有 一 
种 标识 能 够 区 分 每 个 VRRP 组 ，VRID 就 是 标识 不 同 VRRP 组 的 标识 符 。 例 如 ， 图 
2-9 所 示 VRRP 组 《〈“ 虚 拟 路 由 器 ) 的 VRID 为 “1” 

优先 级 : 每 个 VRRP 组 中 会 有 一 个 VRRP 路 由 器 机 充当 主 用 (Master) 路 
由 右 ， 这 个 主 用 路 由 咒 会 承担 局 域 网 网 关 的 角色 ， 为 终 病 设备 转发 往返 于 局 域 
网 的 数据 流量 ; 其 他 参与 这 个 VRRP 组 的 VRRP 路 由 响 接 口 则 充当 备用 (Backup) 
路 由 右 ， 以 备 在 主 用 路 由 器 无 法 为 终端 转发 流量 时 有 设备 可 以 继任 局 域 网 的 网 
天 。 优 先 级 是 管理 员 在 每 个 VRRP 组 中 分 配给 各 个 VRRP 路 由 器 《接口 ) 的 参数 ， 
一 个 VRRP 组 中 优先 级 最 高 的 那个 VRRP 路 由 器 (接口 ) 会 在 主 用 路 由 器 选举 中 
胜出 ， 承 担 主 用 路 由 占 的 角色 。 计 

抢占 : 如 果 一 台 VRRP 路 由 器 工作 在 抢占 模式 (Preempt Mode) 下 ， 那 么 当 这 人 台 
VRRP 路 由 需 ( 接 口 ) 的 如 RP 优先 级 值 高 于 这 个 VRRP 组 中 当前 主 用 路 由 和 硕 的 VRRP 
优先 级 值 ， 这 人 台 VRRP 路 由 器 (的 接口 ) 就 会 成 为 主 用 路 由 器 ;如 果 一 台 VRRP 
路 由 器 工作 在 非 抢 占 模式 下 ， 那 么 即使 这 个 VRRP 路 由 器 《接口 ) 的 VRRP 优先 
级 人 局 于 这 个 VRRP 组 中 当前 主 用 路 由 器 的 VRRP 优先 级 值 , 这 个 VRRP 路 由 需 也 
不 会 在 该 主 用 路 由 器 失效 之 前 ， 就 奉 代 它 成 为 主 用 路 由 器 。 





VRRP 当前 包含 VRRPv2 和 VRRPv3 两 个 版 本 ， 前 者 仅 适 用 于 IPv4 环境 ， 后 者 则 同时 
适用 于 IPv6 环境 中 。 目 前 ， 华 为 VRP 系统 默认 的 VRRP 版 本 为 VRRPv2。VRRP 消息 是 封装 
在 IP 头 部 之 内 的 ， 当 内 部 封装 的 消息 是 VRRP 消息 时 ，IP 头 部 的 协议 字段 会 取 值 “112” 


表示 这 个 IP 数据 包 内 部 封装 的 上 层 协 议 是 VRRP; 同时 这 个 IP 头 部 的 目的 IP 地 址 封装 
的 地 址 为 组 播 地 址 224. 0. 0. 18。 下面， 我 们 来 介绍 一 下 VRRP 消息 中 包含 的 字段 内 容 。 
VRRPv2 的 头 部 封装 格式 如 图 2-10 所 示 。 






4 比特 ， 4 比特 8 比特 | 8 比特 8 比特 


IP 地 址 上 


认证 数据 1 


认证 数据 2 





























图 2-10 VRRPv2 头 部 封装 格式 


通过 图 2-10, 我 们 可 以 看 到 VRRP 消息 中 会 失 带 上 文中 介绍 的 虚拟 路 由 器 ID 和 优先 
级 值 。 这 两 个 字段 在 VRRPv2 封装 中 定义 的 长 度 皆 为 8 比特 ， 因 此 虚拟 路 由 器 ID 和 优先 
级 取 值 的 上 限 丝 为 “255”， 即 .8 位 二 进 制 数 全 部 取 “1” 时 对 应 的 十 进 制 数 。 其 中 ， 虚 
拟 路 由 器 :ID 的 取 值 范围 是 1 一 255， 而 优先 级 字段 的 取 值 范围 是 0 一 255， 优 先 级 值 越 大 
则 这 个 接口 在 主 用 路 由 器 选举 中 的 优先 级 就 越 高 ，“0” 表 示 这 个 VRRP 路 由 器 接口 立刻 
停止 参与 这 个 VRRP 组 ， 如 果 管理 员 给 主 用 路 由 器 赋予 了 “0” 这 个 优先 级 ， 那 么 优先 级 
值 最 高 的 备用 路 由 器 就 会 被 选举 为 新 的 主 用 路 由 器 ， 而 IP 地 址 拥有 者 的 优先 级 为 “255”， 
优先 级 为 “255” 的 设备 会 直接 成 为 主 用 设备 , 华为 路 由 器 接口 默认 的 优先 级 值 为 “100”。 

除了 这 两 个 字段 之 外 ，VRRP 封装 中 还 包括 了 下 列 字段 。 


版 本 : 对 于 VRRPV2 消息 ， 这 个 字段 的 取 值 一 律 为 “2”。 

类 型 : 这 个 字段 的 取 值 一 律 为 “1”, 表示 这 是 一 个 VRRP 通告 消息 。 目 前 VRRPv2 
只 定义 了 通告 消息 这 样 一 种 类 型 的 消息 。 

IP 地 址 数 : 我 们 在 上 文 的 备注 中 曾经 提 到 ， 同 一 个 VRRP 组 可 以 有 多 个 虚拟 IP 
地 址 。 这 个 字段 的 作用 就 是 标识 这 个 VRRP 组 的 虚拟 IP 地 址 数量 。 

认证 类 型 : VRRPv2 定义 了 3 种 类 型 的 认证 : 当 这 个 字段 取 “0” 时 ， 表 示 该 消 
县 的 始 发 VRRP 设备 未 配置 认证 ; 取 “1” 表 示 其 采用 了 明文 认证 ; 取 “2” 则 表 
示 其 采用 了 MD5 认证 。 关 于 认证 的 配置 方法 ， 我 们 会 在 2. 2. 3 节 中 进行 介绍 和 
演示 。 

通告 时 间 间 隔 : 这 个 字段 标识 了 VRRP 设备 发 送 VRRP 通告 的 时 间 间 隔 ， 单 位 为 s。 
校 验 和 : 这 个 字段 的 表意 顾名思义 , 其 作用 是 让 接收 方 VRRP 设备 检测 这 个 VRRP 
消息 是 否 与 始 发 时 一 致 。 
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se。 JIP 地 址 : 这 个 字段 的 作用 是 标识 这 个 VRRP 组 的 虚拟 IP 地 址 。IP 地 址 数字 段 显 
示 这 个 VRRP 组 有 多 少 虚拟 IP 地 址 , 这 个 消 妃 的 头 部 封 状 中 就 会 包含 多 少 个 IP 
地 址 字段 。 
。 认证 数据 : 即 VRRP 消息 的 认证 字段 。 
到 这 里 为 止 ， 我 们 已 经 介绍 了 VRRP 所 涉及 的 大 部 分 基础 知识 。 下 和 面 ， 我 们 需要 结 
合 上 面 介绍 的 内 容 ， 分 步骤 解释 VRRP 为 局 域 网 提供 宛 余 网 关 的 方式 。 
步骤 1 VRRP 组 选举 出 主 用 路 由 器 ， 如 图 2-11 所 示 。 
VRRP 组 中 的 路 由 器 在 选举 主 用 路 由 器 时 ， 会 首先 对 比 优先 级 ， 优 先 级 最 高 的 接口 会 
成 为 主 用 路 由 器 。 如 果 多 个 VRRP 路 由 器 接口 的 优先 级 相同 , 它们 之 间 则 会 继续 对 比 接口 
的 IP 地 址 ，IP 地 址 最 高 的 接口 会 成 为 主 用 路 由 器 。 


注 竺 : 

具体 描述 VRRP 主 用 路 由 器 的 选举 机 制 需要 花费 大 量 篇 幅 ， 其 中 必须 涉及 VRRP 
状态 的 迁移 。 从 实用 的 角度 出 发 , 不 了 解 VRRP 状态 机 的 管理 员 也 可 以 通过 配置 命令 轻 
松 管理 VRRP 组 中 设备 的 主 用 /备用 角色 。 因 此 ， 本 书 为 求 直 白 ， 刻 意 规避 了 VRRP 状 - 
态 机 和 状态 迁移 的 介绍 。 感 兴趣 的 读者 可 以 阅读 其 他 包含 VRRP 的 图 书 或 在 线 资源 , 课 
下 向 华为 ICT 学院 的 任课 教师 请 教 , 或 者 报名 华为 认证 培训 机 构 来 学 习 和 掌握 更 多 关于 






VRRP 的 原理 与 操作 。 
eh z 
: | 
你 是 IP 地 址 拥有 者 。 ”入 = 
你 说 什么 都 对 。 Se 你 的 从 鞠 颖 产 255 
了 ， 还 选 喻 啊 ? 
J 
~ fe = Ny 
回采? S 局 域 网 接口 IP 地 址 
A > Y 5 10.1.1.3/24 
优先 级 : 105 


VRRP 路 由 器 AS 由 VRRP 路 由 器 B_| VRRP 路 由 器 C1 


Dd 
-= 


| , RRP 组 (虚拟 趾 由 器 ): VRID 1 | 
虚拟 中 地 址 : 10 由 .124 
局 域 网 接口 IP 地 址 :| 虚拟 MAC 地 址 : |90-00-5E-00-01-0 


10.1.1.1/24 
局 域 网 接口 IP 地 址 : 
优先 级 : 255 10.1.1.3/24 


优先 级 : 100 









ge 总 








IP 头 部 : 

目的 IP 地 址 : 224.0.0.18 
VRRP 头 部 : 

VRRP 组 : 1 

优先 级 : 255 


图 2-11 VRRP 主 用 路 由 器 选举 示意 
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步骤 2 主 用 路 由 器 主动 在 这 个 局 域 网 中 发 送 ARP 啊 应 消息 来 通告 这 个 VRRP 组 虚拟 
的 MAC 地 址 ,并且 开始 周期 性 地 向 VRRP 组 中 的 其 他 路 由 器 通告 自己 的 信息 
和 状态 ， 如 图 2-12 所 示 。 


注 焙 : 

一 全 设备 不 经 请 求 就 主动 在 局 域 网 中 泛 洪 的 ARP 响应 消息 称 为 gratuitous ARP 
(gARP ) ， 这 类 ARP 被 国内 技术 工作 者 翻译 为 “免费 ARP” 或 “无 偿 ARP”。 这 种 译 
法 尽管 有 欠 妥 当 但 却 十 分 普遍 ， 本 书 在 后 文中 也 会 沿用 这 种 〈- 并 不 贴切 的 ) 译 法 。 


. 局 
人 
VRRP 路 由 器 A | VRRP 路 由 器 B | WRRP 路 由 器 C 
( 主 用 路 由 器 ) (备用 路 由 器 ) | 备用 路 由 器 》| 























答 位 VRRP 同 仁 ， 我 
请 抑制 住 你 们 抢 班 
夺权 的 冲动 ， 并 请 
记录 下 列 信息 … 


VRRP 组 《虚拟 路 由 器 ) : VRID 1 
虚拟 IP 地 址 : 10.1.1.1/24 
虚拟 MAC 地 址 ; 00-00-5E-00-01-01 


Mr。 Ap ”Ap ee ee Ce Cp oo ee 00 


是 10.1.1.1/24， 我 的 
MAC 地 址 是 10.1.1.1/24 不 
00-00-5E-00-01-01 就 是 网 关 吗 ? 
这 个 MAC 地 \ 
址 可 要 记 好 


一 -ww “yy 
大 家 好 ， 我 的 IP 地 址 ES 和 










有 线 终端 

IP 地 址 : IP 地 址 : [P 地 址 : 
10.1.1.10/24 1@ .1,1 .11/24 10.1.1.12/24 1Q;1.1.13/24 
网 关 地 址 : 网 关 地 址 : 网 关 地 址 : 网 关 地 址 : 

10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 


图 2-12 VRRP 主 用 路 由 器 在 局 域 网 中 发 布 免费 ARP 和 VRRP 通告 的 示意 
同时 ， 当 这 个 局 域 网 中 的 终 冰 都 获得 了 网 关 地 址 〈 也 即 VRRP 组 虚拟 IP 地 址 ) 所 对 
应 的 MAC 地 址 〈 即 VRRP 组 虚拟 MAC 地址 ) 之 后 ， 它 们 就 会 使 用 虚拟 IP 地 址 和 虚拟 MAC 
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地 址 来 封装 数据 。 同 时 ， 在 所 有 接收 到 发 送 给 网 关 虚 拟 地 址 的 VRRP 组 成 员 设 备 中 ， 只 
主 用 设备 会 对 这 些 数据 进行 处 理 和 /或 转发 ， 备 用 路 由 器 则 会 丢弃 发 送 给 虚拟 地 址 的 数 
据 ， 如 图 2-13 所 示 。 










我 们 不 是 主 用 


VRRP 路 由 器 A 我 们 


( 主 用 路 由 器 ) 


( gi 
a -i 我 来 


VRRP 路 由 器 B | VRRP 路 由 器 C 
(备用 路 由 器 ) | ‘备用 路 由 器 ) 








iP 地 址 IP 地 址 : IP 地 址 : iP 地址 
10.1.1.10/24 10.11 up 10.1.1.12/24 10.1.1.13/24 
网 关 地 址 网 关 地 址 * 网 关 地 址 : 网 关 地 址 


10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 10.1.1.1/24 


图 2-13 只 有 YVRRP 主 用 路 由 器 负责 为 局 域 网 中 的 终端 转发 往返 于 外 部 网 络 的 流量 


如 果 主 用 设备 出 现 故障 ， 那 么 VRRP 组 中 的 备用 设备 就 会 因为 在 指定 时 间 内 没有 接 
收 到 来 自主 用 设备 的 VRRP 通告 消息 而 发 觉 主 用 设备 已 经 死 法 为 局 域 网 提供 网 关 服 务 , 于 
是 它们 就 会 重新 选举 新 的 主 用 设备 ， 并 且 开 始 为 这 个 局 域 网 中 的 终端 转发 往返 于 外 部 网 
络 的 数据 。 这 个 物理 网 关 设 备 切 焕 的 过 程 终 端 并 不 知情 ， 这 个 过 程 也 并 不 会 影响 终端 设 
备 继续 使 用 VRRP 虚拟 地 址 来 封装 发 送 给 网 关 设 备 和 外 部 网 络 的 数据 包 。 尽 管 在 实际 上 ， 
对 终端 设备 发 送 的 数据 包 作 出 响应 的 物理 设备 已 经 不 是 过 去 那 台 网 关 设备 了 。 

关于 VRRP 的 原理 ， 我 们 在 2. 2. 2 节 中 用 图 文 并 茂 的 方式 进行 了 比较 详细 的 介绍 。 
在 2.2. 3 节 中 ， 我 们 会 演示 如 何在 华为 设备 上 配置 VRRP 组 和 相关 参数 。 


2.2.3 VRRP 的 配置 


在 学 习 了 VRRP 的 理论 知识 后 ，2. 2. 3 节 会 在 华为 设备 网 络 环境 中 展示 VRRP 的 基本 
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配置 和 认证 部 署 。 首 先 图 2-14 中 展示 了 2. 2. 3 节 将 会 用 到 的 拓扑 图 。 


PC10 


A 
IP 地 址 : 10.10.10.10/24 


网 关 地 址 : 10.10.10.254 AR2 GW 
图 2-14 VRRP 基本 配置 环境 






虚拟 路 由 器 
(VRID-10) 





在 图 2-14 所 示 的 企业 环境 申 ，ARl 和 AR2 是 两 台 连 接 企 业 网 关 GW) 的 路 由 器 ， 它 
们 充当 企业 内 部 主机 的 网 关 ， 并 且 通 过 VRRP 向 企业 内 部 网 络 呈 现 出 一 台 虚 拟 路 由 器 的 状 
态 。GW 设备 连接 ISP〈 服 务 器 提供 商 ) 并 提供 Internet 访问 。 在 默认 情况 下 ， 管 理 员 要 
求 AR1 为 主 用 网 关 路 由 器 ， 用 来 实际 传输 数据 流量 。 当 AR1 发 生 故 障 时 ，AR2 目 动 从 备用 
路 由 器 切换 为 主 用 路 由 器 ， 接 替 AR1 来 传输 企业 去 往 Internet 的 数据 流量 。 企 业内 部 用 户 
(如 图 中 的 PC10) 使 用 虚拟 路 由 器 的 IP 地 址 (10. 10. 10. 254) 作为 网 关 地 址 ， 在 主 用 网 关 
路 由 器 (AR1) 发 生 故 障 时 ， 用 户 PC10 并 不 会 意识 到 网 络 中 出 现 了 问题 ， 它 们 与 Internet 
之 间 的 数据 传输 并 不 会 受到 影响 。 与 本 例 配 置 相 关 的 接口 和 IP 地 址 规划 见 表 2-1。 

表 2-1 忆 VRRP 基本 配置 环境 中 的 IP 地 址 规划 一 
[R000 | oo | 



















GW 与 AR1 相连 接口 192. 168. 0. 1/30 
GW 与 AR2 相连 接口 192. 168. 0. 5/30 
模拟 Internet 设备 192. 168. 0. 10 


vv” 注 渤 :; 

为 了 在 案例 网 络 中 实现 任意 节点 之 间 的 路 由 ， 我 们 在 所 有 接口 上 都 局 用 了 OSPF 协 
议 。 为 了 实现 全 网 互通 而 实施 的 接口 IP 地 址 和 OSPF 协议 配置 不 再 演示 , 读者 可 以 根据 
《路 由 与 交换 技术 》 第 7 章 ( 单 区 域 OSPE ) 中 介绍 的 配置 命令 ， 在 自己 的 实验 环境 中 搭 
建 本 例 的 拓扑 环境 。 本 书 在 后 文 的 配置 案例 中 也 不 再 演示 诸如 接口 配置 和 动态 路 由 协议 
配置 等 内 容 ， 而 是 把 重点 放 在 新 功能 和 新 协议 的 配置 上 。 
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1.VRRP 的 基本 配置 

在 本 例 中 ， 管 理 员 把 VRRP 的 虚拟 路 由 器 ID (VRID) 设置 为 10， 并 且 把 虚拟 路 由 器 
IP 地 址 设置 为 10. 10. 10. 254。 为 了 使 AR1 成 为 VRRP 主 用 路 由 器 ，AR2 成 为 YRRP 备用 路 
由 器 ， 管 理 员 在 AR1 和 AR2 的 60/0/0 接口 上 分 别 配 置 了 以 下 信息 ， 详 见 例 2-1 所 示 。 

例 2-1 在 路 由 器 接口 添加 VRRP 配置 

[ARL] interface g0/0/0 

[AR1-GigabitEthernet0/0/0]vyrrp vrid 10 virtual-ip 10. 10. 10. 254 

[AR1I-GigabitEthernet0/0/0]vrFrp vrid 10 priority 150 

[AR2j interface g0/0/0 

[AR2-GigabitEthernet0/0O/X0]vrrp vrid 10 virtual-ip 10. 10, 10. 254 

如 例 2-1 所 示 ， 管 理 员 在 AR1 接口 60/0/0 上 配置 了 命令 vrrp vrid 10 virtual-ip 
10. 10. 10. 254， 这 条 命令 中 指定 了 VRRP 备份 组 为 YRID 10， 虚 拟 IP 地 址 为 10. 10. 10. 254。 
在 实际 工作 中 ， 管 理 员 可 以 根据 VLAN ID 来 设置 VRRP 备份 组 的 VRID。 同 时 这 个 接口 上 
还 配置 了 命令 vrrp vrid 10 priority 150， 这 条 命令 会 把 这 个 接口 在 VRID 10 中 的 优 
先 级 调整 为 150， 使 其 大 于 默认 值 100， 从 而 令 AR1 能 够 成 为 VRID 10 的 主 用 路 由 器 。 

管理 员 在 AR2 接口 60/0/0 上 也 指定 了 VRID 10 和 虚拟 IP 地 址 10. 10. 10. 254， 同 时 
保留 VRRP 优先 级 100 的 于 认 设置 我 们 通过 例 2-2 所 示 命 令 先 来 伍 看 一 下 两 台 路 由 右上 
的 VRRP 简化 信息 。 : 

例 2-2 检查 VRRP 状态 

[AR1]display vrrp brief 





Total:1 Master:1l Backup:0 RA 
VRID State Interface Type Virtual IP 
10 Waster “6E0/0x0 Normal 10.10.10.254 
[AR1] : ' 
[AR2jdisplay vrrp brief 1 
Total:1 Master:0 Backup:1 Non-active:0 
VRID State ~ Interface Type Virtual IP 
和 
IROND B07010 Nota Oo0260 





在 例 2-2 中 ， 管 理 员 在 AR1 和 AR2 上 使 用 了 相同 的 命令 display vrrp brief， 这 条 
命令 可 以 用 来 查看 VRRP 简化 信息 ,从 中 不 仅 可 以 看 到 接口 上 配置 的 VRID 和 虚拟 IP 地 址 ， 
还 可 以 看 到 接口 的 角色 : ARl1 上 显示 的 “Master” 表 示 本 地 路 由 器 是 VRRP 主 用 路 由 器 ， 
用 来 传输 数据 流量 ; AR2 上 显示 的 “Backup” 表 示 本 地 路 由 器 是 VRRP 备用 路 由 器 ， 当 主 
用 路 由 器 失效 时 ， 它 能 够 成 为 VRRP 主 用 设备 。 

要 想 碍 看 当前 路 由 器 上 运行 的 VRRP 版 本 ， 管 理 员 可 以 使 用 命令 display vrrp 
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protocol-information, 例 2-3 展示 了 ARl1 上 这 条 命令 的 输出 内 容 , 阴影 部 分 展示 出 AR1 
上 VRRP 协议 的 版 本 为 V2。 
例 2-3 查看 VRRP 版 本 
[ARijdisplay vrrp protocol-information 
VRRP protocol information is shown as below: 
VRRP protocol version : V2 
Send advertisement packet mode : send v2 only 
在 这 个 案例 中 ,管理 员 把 PC10 的 网 关 地 址 设置 为 虚拟 路 由 器 IP 地 址 10. 10. 10. 254， 
在 这 个 网 络 中 未 实施 VRRP 前 , PC10 无 法 访问 Internet， 因 为 网 络 中 没有 接口 IP 地 址 为 
10. 10. 10. 254 的 设备 。 通 过 例 ,2-1 中 几 条 命令 的 简单 设置 ， 现在 PC10 已 经 可 以 访问 
Internet 了 。 例 2-4 展示 了 在 tci0 上 访问 (ping) Internet 地 址 (管理 员 在 GW 上 启用 
了 一 个 环 回 接口 192. 168. 0. 10 来 模拟 Internet 设备 ) ， 以 及 对 这 个 地 址 执行 tracert 
的 结 来 。 
例 2-4 在 PC10 上 验证 VRRP 的 配置 效果 
PC10>ping 192. 168. 0. 10 


Ping 192. 168. 0. 10: 32 data bytes, Press Ctrl C to break 
Froi 192. 168. 0. 10: bytes=32 seq=] tt]=254 time=46 ms 
From 192, 168. 0. 10: bytes=32 seq=2 ttl=254 time=16 ms 
From 192. 168.0. 10: bytes=32 seq=3 tt]=254 time=47 ms 
From 192. 168. 0. 10: bytes=32 seq=4 tt1l=254 time=47 ms 
From 192. 168. 0. 10: bytes=32 sed=5 ttl=254 time=31 ms 


-一 192. 168. 0. 10 ping statistics —- 
5 packet(s) transmitted 
5 packet (s) received 
0. 00% packet loss 
round-trip min/avg/max = 16/37/47 ms 


PC10>tracert 192. 168. 0. 10 


traceroute to 192. 168. 0. 10，8 hops max 
(ICMP), press Ctrl+C to stop 
fi PIT105253 3] ms. .47 me. 47 ms 
2 让 92.168 0 ,62 ms 63 ms 78 ms 
从 例 2-4 展示 的 第 一 条 ping 命令 可 以 看 出 ，PC10 能 够 访问 Internet 设备 ; 通过 第 
二 条 tracert 命令 ,我 们 pe 至 是 PC10->AR1->GW。 继 而 验证 了 VRRP 
的 配置 效果 ， 即 AR1 为 VRRP 的 主 用 路 由 器 ， 负 责 传输 数据 流量 。 
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2. 让 VRRP 追踪 上 行 接 口 状态 

在 ARl 和 AR2 的 G0/0/0 接口 配置 好 VRRP 相关 设置 后 ，VRRP 就 可 以 正 第 工作 了 。 在 
网 络 中 一 切 正 常 的 情况 下 ,VRRP 主 用 路 由 器 CAR1 ) 会 通过 G0/0/0 接口 周期 性 地 发 送 VRRP 
消息 ， 这 使 得 AR2 能 够 检测 到 10. 10. 10. 0/24 网 络 中 的 AR1 故障 。 比 如 AR1 的 60/0/0 
接口 出 现 问 题 无 法 友 送 数据 包 ， 或 者 AR1 整体 宕 机 。 但 如 果 AR1 与 GW 相连 的 链 路 出 现 
问题 而 中 断 ，AR2 是 无 法 获得 任何 通知 的 ， 这 时 AR1 仍 是 VRRP 的 主 用 设备 ， 仍 负责 转 
发 PC10 发 来 的 数据 流量 ， 但 由 于 上 行 链 路 中 断 ，PC10 实际 上 是 无 法 通过 GW 访问 
Internet 的 。 

既然 配置 VRRP 的 目的 怠 是 为 了 确保 LAN 中 的 主机 能 够 在 一 台 网 关 设 备 出 现 问题 时 ， 
仍 可 以 通过 另 一 台 网 关 设 备 进行 通信 , 因此 我 们 需要 让 VRRP 也 能 够 根据 上 行 链 路 的 状态 
相应 地 进行 切换 。 因 此 , 管理 员 在 AR1 的 60/0/0 接口 上 配置 了 以 下 命令 来 实现 这 一 目标 ， 
详 见 例 2-5 所 示 。 

例 2-5 配置 VRRP 追踪 上 行 链 路 状态 

[AR1 | interface g0/0/0 

[AR1-GigabitEthernet0/0/0]vrrp vrid 10 track interface GigabitEthernet 0/0/1 reduced 100 

从 例 2-5 所 示 配 置 命 令 可 以 解读 出 ; AR1 要 在 VRRP VRID 10 中 追踪 接口 60/0/1 的 
状态 ， 当 G0/0/1 的 状态 变 为 Down 时, 把 VRRP VRID 10 的 优先 级 减少 100。 还 记得 例 2-] 
中 管理 员 把 AR1 接口 60/070 的 VRID 10 优先 级 配置 为 “150”， 因 此 当 优 先 级 减少 100 
后 ， 它 的 优先 级 就 会 低 于 AR2 接口 60/070 的 优先 级 100。 这 样 一 来 ，AR2 就 可 以 通过 优 
先 级 抢占 主 用 角色 。 

本 例 中 ， 我 们 通过 手动 关闭 ARI 接口 160/0/1 来 模拟 上 行 链 路 故障 。 例 2-6 展示 了 
AR1 上 的 相关 显示 信息 。 

例 2-6 关闭 AR1 接口 G0/0/1 并 观察 VRRP 状态 变化 

[AR1jinterface g0/0/1 

[AR1-GigabitEthernet0/0/1lshutdown 

Mar 28 2017 04:52:09-08:00 AR1 %%01IFPDT/4/IF 的 :Interface GigabitEther 

net0/0/1 has turned into DOWN state. 

[AR1=GigabitEthernet0/0/1] e: 

[AR1-GigabitEthernet0/0/1] -~ 

Mar 28 2017 04:52:09-08:00 AR1 %%Ol1IFNET/4/LINK_STATE(1) [1] :The line protocol IP 

on the interface GigabitEthernet0/0/1 has entered the DOWN state. 

[AR1-GigabitEthernet0/0/1] 

Mar 28 2017 04:52:09-08:00 AR1 %%01VRRP/4/STATEWARNINGEXTEND(1) [4] :Virtual Route 
[ER changed to BACKUP, because of priority calculation. (Interface=Gi 


gabitEthernet0/0/0, Vrld=167772160, InetType=IPv4) 
[AR1-GigabitEthernet0/0/1] 





r state MAS' 
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Mar 28 2017 04:52:09-08:00 AR1 VRRP/2/VRRPMASTERDOWN:O0ID 16777216. 50331648. 10066 
3296. 16777216. 67108864. 16777216. 3674669056. 83886080. 419430400. 2130706432. 3355443 
2. 503316480. 16777216 The state of VRRP changed from master to other state， (Vrrp 
IfIndex=50331648，VrId=167772160，IfIrndex=50331648，IPAddress=253. 10. 10. 10，Node 
Name=AR1, IfName=GigabitEthernet0/0/0, CurrentState=Backup, ChangeReas 
y caleulation (GEO/0/1 down)) 

从 例 2-6 中 我 们 可 以 看 出 , 当 管 理 员 在 AR1 接口 60/0/1 上 执行 了 shutdown 命令 后 ， 


=priorit 





AR1 自动 弹出 提示 信息 ， 表 示 接 口 状 态 从 “UP?” 变 为 “DOWN”。 第 一 个 阴影 行 展示 出 VRRP 
状态 也 发 生 了 变化 , 由 于 优先 级 重新 计算 ,AR1 的 VRRP 兰 浴 从 “MASTER ”改变 为 “<BACKUP”，; 


第 二 


全 。 


个 阴影 行 给 出 了 变更 原因 是 60/0/1 接口 状态 变 为 “DOWN” 。 
例 2-7 展示 了 AR2 上 的 提 末 信息 ， 从 阴影 行 可 以 看 出 AR2 接替 成 为 VRRP 主 用 路 由 


‘ 


Y 
例 2-7 AR2 上 的 同步 显示 信息 
[AR2] 
Mar 28 2017 04:52:09-08:00 AR2 VRRP/2/VRRPEHANGETOMASTER:OID 16777216. 50331648. 1 
0 ie The status of VRRP cha 
nged to masteéer. (VrrplfIndex=50331648, VrId=167772160,，JIflndex=50331648, IPAddre 
ss=252. 10. 10, 10, NodeName=AR2, IfName=GigabitEthernet0/0/0, ChangeReason=priorit 
y Et 
[AR2] \ : 人 
Mar 28 2017 04:52:09-08:00 AR2 %%01VRRP/47STATEWARNINGEXTEND (1) [1 :Virtual Route 
r state BACKUP changed to MASTER, because of priority calculation. (Interface=Gi 
gabitEthernet0/0/0, VrId=167772160， InetType=IPv4) 
接 下 来 我 们 再 次 在 PC10 上 执行 tracert 测试 ， 并 观 穴 测试 结果 ， 话 见 例 2-8 所 示 。 
例 2-8 从 PC10 访问 Internet 地 址 
PC10>tracert 192. 168. 0. 10 


traceroute to 192. 168. 0. 10，8 hops max 

(ICMP), press Ctrl+C to stop 

bid: 0. 10 262. 94 ms 47 ms. “3L:ms 

2 192.168.0.10 47 ms 47 ms 46 ms 

从 例 2-8 的 阴影 行 我 们 可 以 看 出 ,现在 PC10 已 经 开始 通过 AR2 来 访问 Internet 了 ， 


VRRP 的 故障 切换 成 功 。 


3. VRRP 的 抢占 功能 
由 于 华为 设备 上 的 VRRP 默认 局 用 抢占 功能 ,因此 当 AR1 的 VRRP 优先 级 降低 时 ，AR2 


能 够 自动 抢占 成 为 VRRP 主 用 路 由 器 。 同 样 的 ， 当 AR1 接口 60/0/1 恢复 功能 后 ， 它 也 会 
重新 夺回 VRRP 主 用 路 由 器 的 角色 ， 详 见 例 2-9 所 示 。 
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例 2-9 开局 AR1 接口 G0/0/1 并 观察 VRRP 状态 变化 

[AR1] interface g0/0/1 

[AR1-GigabitEthernet0/0/1jundo shutdown 

[AR1-GigabitEthernet0/0/1] 

Mar 28 2017 05:14:17-08:00 AR1 %%Ol1IFPDT/4/1IF STATE(1) [0}]:Interface GigabitEther 

net0/0/1 has turned into UP state. 

[AR1-GigabitEthernet0/0/1] 

Mar 28 2017 05:14:17-08:00 AR1 %%O0l1IFNET/4/LINK STATE(1) LU :The line protocol IP 
on the interface GigabitEthernet0/0/1 has entered the UP state. 
[AR1-GigabitEthernet0/0/1] 

Mar 28 2017 05:14:17-08:00 ARl1 %%OlVRRP/4/STATEWARNINGEXTEND (1) [2] :Virtual Route 
r state BACKUP changed to MASTER, because of priority calculation. (Interface=Gi 
gabitEthernet0/0/0, Vrld=167772160, InetType=IPv4) 

[AR1-GigabitEthernet0/0/1] 

Mar 28 -2017 05:14:17-08:00 ARL VRRP/2/VRRPCHANGETOMASTER:0ID 16777216. 50331648, 1 


00663296. 16777216. 33554432. 16777216. 1140850688. 0. 16777216 The status of VRRP cha 


nged to master. (VrrpIfIndex=50331648, VrId=167772160, IfIndex=50331648,IPAddre 
ss=253. 10. 10. 10, NodeName=AR1, IfName=GigabitEthernet0/0/0, ChangeReason=priorit 


y calculation) kt 


从 例 2-9 可 以 看 出 ,在 管理 员 手 动 开 启 了 AR1 接口 60/0/1 后 ，ARL 几 笠 立即 夺回 了 
VRRP 主 用 路 由 器 的 角色 。 使 用 命令 display vrrp 可 以 查看 VRRP 的 抢占 状态 , 详 见 例 2-10 


所 示 。 


例 2-10 ”命令 display vrrp 10 的 输 a 
[ARl]display vrrp 10 : 
GigabitEthernet0/0/0 | Virtual Router 10 


State : Master 

Virtual TIP : 10. 10.10.254 
Master IP : 10. 10. 10. 253 > 
PriorityRun’ 150 


一 


PriorityConfie— 150 
MasterPriority : 150 更 : 


Treenpt : YES Delay Tine :os - 


TimerRun : 1 5s 

TimerConfig : 上 SS 

Auth type : NONE 

Virtual MAC : 0000-5e00-010a 
Check TEFL''s WES 

Config type : normal-vrrp 


Backup~forward : disabled 
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Track IF : GigabitEthernet0/0/1 Priority reduced : 100 
IF state : UP 
Create time : 2017-03-28 03:45:00 UTC-=08:00 
Last change time : 2017-03-28 05:14:17 UTC-08:00 
从 例 2-10 的 阴影 行 我 们 可 以 看 到 抢占 功能 是 开局 的 ， 并 且 延 返 时 间 为 08〈 堆 认 议 
置 ) 。 也 就 是 说 ， 当 路 由 器 感知 到 需要 切换 VRRP 状态 的 事件 后 ， 它 会 立即 进行 切换 。 除 
此 之 外 , 这 条 命令 的 输出 内 容 中 还 包括 接口 上 有 关 VRRP 的 其 他 配置 信息 , 读者 可 以 目 行 
观察 。 
要 想 了 解 一 个 接口 上 的 VRRP 状态 变化 情况 ， 管 理 员 可 以 使 用 一 条 很 有 用 的 命令 进 
行 查 看 ， 详 见 例 2-11 所 示 。 
例 2-11 观察 路 由 器 接口 的 VRRP 状态 变化 情况 


[AR1jdisplay vrrp state-chakge interface GigabitEthernet 0/0/0 vrid 10 





Time SourceState DestState Reason 

2017-03-28 03:45:00 UTC-08:00 Initialize Backup Interface up 
2017-03-28 03:45:03 UTC-08:00 Backup Master Protocol timer expired 
2017-03-28 04:52:09 UTC-08:00 一 Master Backup ~ Priority calculation 
2017-03-28 05:14:17 UTC-08:00 Backup Master Priority calculation 


管理 员 可 以 使 用 命令 display vrrp state-change interface GigabitEthernet 
0/0/0 vrid 10 来 查看 某 个 接口 下 某 个 VRID 中 的 VRRP 状态 变化 。 本 例 中 阴影 行 展 示 的 
正 是 关闭 和 启用 AR1 接口 60/0/1 导致 的 VRRP 状态 切换 事件 。 

4. VRRP 的 认证 / 

为 了 加 强 VRRP 的 安全 性 ， 管 理 员 可 以 在 VRRP 设备 的 协商 消息 中 添加 认证 参数 ， 使 
具有 相同 认证 配置 的 设备 之 间 才 能 够 进行 VRRP 协商 。 接 下 来 我 们 在 既 有 拓扑 中 添加 一 台 
PC20， 设 置 其 IP 地 址 为 10. 10. 10. 20/24， 网 关 地 址 为 10. 10. 10. 251。 管 理 员 要 在 路 由 
器 ARl 和 AR2 上 添加 一 个 VRRP 备份 组 ， 将 VRID 设置 为 20， 虚 拟 IP 地址 设置 为 
10. 10. 10. 251， 主 用 路 由 器 为 AR2， 备用 路 由 器 为 AR1,， 并 且 和 它们 之 间 震 要 使 用 密码 进行 
通信 ， 有 具体 拓扑 如 图 2-15 所 示 。 


ARIi 





GO/O/1 


虚拟 路 由 器 
CVRID-20) 







GO/0/0 






IP 地 址 : 10.10.10.20/24 
网 关 地 址 : 10.10.10.251 AR2 GW 


图 2-15 添加 一 个 VRRP 备份 组 VRID 20 
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管理 员 在 AR1 和 AR2 上 分 别 进行 了 如 下 配置 ， 详 见 例 2-12。 

例 2-12 在 AR1 和 AR2 上 配置 VRRP VRID 20 并 启用 认证 功能 

[ARIj interface g0/0/0 

[AR1-GigabitEthernet0/0/0]vrrp vrid 20 virtual-ip 10. 10. 10. 251 

[AR1-GigabitEthernet0/0/0]vrrp vrid 20 _ authentication-mode Simple plain huawei 

[AR2] interface g0/0/0 

[AR2-GigabitEthernet0/0/0]vrrp vrid 20 virtual-ip 10. 10. 10. 251 

[AR2-GigabitEthernet0/0/X0]vrrp vrid 20 priority 150 

[AR2-GigabitEthernet0/0/0jvrrp vrid 20 authentication-mode simple plain huawei 

从 例 2-12 的 配置 中 我 们 可 以 看 出 ,管理 员 把 AR2 在 VRID 20 中 的 优先 级 调整 为 150， 
使 其 成 为 主 用 路 由 器 。 在 本 例 中 ， 管 理 员 用 来 局 用 VRRP 认证 的 命令 为 vrrp vrid 20 
authentication-mode simple plain huawei。 这 条 命令 的 完整 语法 是 vrrp vrid virtual- 


router-id authentication-mode {simple {key | plain key | cipher cipher-key) | 


md5 md5-key} ， 其 中 重要 的 可 选 参 数 如 下 。 
。 simple | md5: 指定 认证 密码 在 网 络 中 的 传输 模式 ，“simple” 表 示 以 明文 进 
行 传输 ，“md5” 表 示 以 密 文 进行 传输 ， 后 者 更 为 安全 ; 
。 simple {key | plain Key | cipher cipher-key}: 在 关键 字 simple 后 面 可 
以 直接 配置 执行 认证 所 使 用 的 密码 ， 长 度 为 1 一 8 字符 。plain 和 cipher 指定 
了 认证 密码 在 配置 中 的 保存 模式 : “plain” 表 示 以 明文 保存 在 配置 中 ， 
“cipher ”表示 以 加 密 的 形式 保存 在 配置 中 ， 后 者 更 为 安全 
为 了 更 清晰 地 展示 配置 命 令 与 display 命令 输 出 内容 之 间 的 关系 ， 本 例 使 用 了 加 密 
认证 配置 的 所 有 组 合 中 最 不 安全 的 做 法 ， 划 就 是 让 加 蜜 密码 在 网 络 中 以 明文 的 形式 传输 ， 
并 且 在 路 由 器 配置 中 以 明文 的 形式 保存 密码 。 在 实际 工作 中 ， 建 议 管理 员 使 用 更 安全 的 
配置 选项 。 
例 2-13 在 AR1 上 使 用 命令 display vrrp 20 验证 所 VRRP VRID 20 的 状态 。 
例 2-13 在 AR1 上 验证 VRID 20 的 状态 
[ARLjdisplay vrrp 20 
GigabitEthernet07070 | el Router 20 
State : Backup 
Virtunl -LP 10, 10. 10 251 
Master TP : 10. 10. 10. 252 
PriorityRun : 100 
PriorityConfig : 100 


MasterPriority : 150 | 
Preempt : YES Delay Timer :0s 


家 


TimerRun : 1 S 


TimerConfig : 1 sS 


”Auth type : SIMPLE Auth key : huawei 
Virtual MAC : 0000-5e00-0114 
Gheck TIL : YES 
Config type : normal-vrrp 
Backup-forward : disabled 
Create time : 2017-03-28 05:41:54 UTC-08:00 
Last change time : 2017-03-28 05:59:;12 UTC-08:00 
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从 例 2-13 的 阴影 行 我 们 可 以 看 出 ，AR1 上 局 用 了 认证 并 且 认证 模式 为 “SIMPLE”， 
认证 密 钥 (huawei ) 也 明确 地 显示 在 配置 中 。 图 2-16 展 汞 了 在 10. 10. 10. 0/24 网 络 中 的 
抓 包 结果 ， 从 这 个 以 AR2 (10. 10. 10. 252) 为 源 发 出 的 VRRP 消息 ， 我 们 可 以 看 出 VRRP 
通告 消息 版 本 为 Y2， 认 证 类 型 汶 明 文 认证 ， 认 证 字符 串 也 能 够 从 抓 包 解 析 中 直接 看 到 : 


huawels 


: 
二 
年 


Elle Edit View Go Capture Analyze Statistics Telephony Iools Help 


天 术 前 他 前 可 国光 名 三 | 人 填写 卫生 | 章 较 Q&AQQEi 生 天 加 % 


Filter: VIP 和 ~ Exprassion... Clear Apply 


No. Time SOurce Destination Protocol Info 


10099 5293.42200930:10.19.253 224.0.0.18 RRP Announcement (vz 
10100 5293.73500'130. 10, 10.252 224.0.0.18 VRRP Announcement (v2) 


naAl 1 CNAN A 二 ” 
i101064 S294 SOG030. 10. 10.252 


» qs Frame 10100: 60 bytes on wire (480 bits), 60 bytes captured 《480 bits) 


1 Ethernet If, Src: IETF-VRRP-VRID 14 (00:00:5e:00:01:14), Dst: IPpvdmcast_00:00:;12 (01:00;Se:' 
E ua protocol, src: 10.10.10.252 {10.10.10.252), Dst: 224.0.0.18 (224.0.0.18) 


irtual Router Redundancy Protocol 

-Version 2, Packet type 1 (Advertisement) 
Virtual Rtr ID: 20 

priority: 150 (Non-default backup priority) 
Addr Count: 1 





; 
oor 


这 


> 





pw 


Auth Type: Simple Text Authentication [RFC 2338] / Reserved [RFC 3768] (II) 


Adver Int: i 

Checksum: Ox038e [corract] 

IP Address: 10.10.10.251 C10. 10， 10.251) 
AuUthentication string: “Puawey 


0010 00 28 10 41 00 00 ff 70 bs 4c 0a 0a 0a fc e0 00 村 oH Ne i 


0020 00 12 21 14 96 01 01 01 03 8e 0a 0a 0a fb WE .1....; iu 


lo030 -00 00 00 00 00 00 Em...... 


@ Text item (text), 8 bytes Packets: 10104 Displayed: 5521 Marked: 0 profile: Default 


图 2-16 在 抓 包 解析 中 查看 VRRP 认证 密码 


注 渤 : 


在 图 2-16 的 抓 包 截图 中 可 以 看 出 ， 在 10.10.10.0/24 网 络 中 有 两 个 源 地 址 都 在 发 送 
VRRP 通告 消息 ， 其 中 AR2 (10.10.10.252 ) 发 送 的 是 VRID 20 的 通告 消息 ，AR1 
( 10.10.10.253 ) 发 送 的 是 VRID 10 的 通告 消息 。 因 为 在 VRRP 协商 成 功 后 , 只 有 VRRP 


主 用 设备 会 周期 性 发 送 VRRP 消息 。 


通过 对 比 这 两 个 VRRP 备份 组 的 配置 ,我们 可 以 看 出 ，VRRP 的 认证 是 基于 VRRP 备份 
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组 进行 设置 的 , 管理 员 可 以 为 不 同 的 VRRP 备份 组 设置 不 同 的 认证 模式 以 及 不 同 的 认证 
密码 。 

5. 通过 VRRP 实现 负载 分 担 

其 实 到 目前 为 止 ，2. 2. 3 二 展示 的 网 络 环境 中 已 经 通过 VRRP 实现 了 流量 的 负载 分 担 : 
PC10 会 通过 AR1 访问 Internet，PC20 会 通过 AR2 访问 Internet。 图 2-17 更 加 清晰 地 展 
示 了 流量 路 径 。 







”IP 地 址 : 10.10.10.10/24 
PC10 网 关 地 址 : 10.10.10.254 





一 - 
—- 
一 
. 反 


PC20 IP 地 址 : 10.10.10.20/24 
网 关 地 址 : 10.10.10.251 


图 2-17 通过 VRRP 实现 负载 分 担 


图 2-17 中 展示 了 PC10 和 PC20 发 往 Internet 的 数据 包 路 径 , PC10 的 数据 包 ( 灰 色 ) 
会 去 往 AR1，PC20 的 数据 包 (黑色) 会 去 往 AR2。 例 2-14 中 也 通过 在 PC10 和 PC20 上 执 
行 tracert 命令 验证 了 这 一 结果 。 1 

例 2-14 在 PC10 和 PC20 上 验证 去 往 Internet 的 路 径 

PCli0>tracert 192. 168.0:-10 


traceroute to 192. 168. 0. 10, 8 hops 
(ICMP)，press Ctrl+C to stop 
1 
2 192.168.0.10 78 ms 31 ms 47 ms 


,~ 


PC10> 
PC20>tracert 192;168.0.10 


traceroute to 192. T68, 0. 10, 8 hops max 
(ICMP), press Ctrl+C to stop , 
1 10;10.10.252 78 ms 31 ms 47 ms 
2 192. 168.0.10 63 ms 62 ms 63 ms 


PC20> 
例 2-15 通过 AR1 和 AR2 上 的 命令 display vrrp brief 查看 了 VRRP 的 状态 信息 。 
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例 2-15 在 AR1 和 AR2 上 查看 VRRP 简化 信息 
[ARijdisplay vrrp brief 





Total:2 Master:1 Backup:1 Non-active:0 

VRID State Interface Type Virtual IP 
10 ”Master GEQ/0/0 Normal 10.10.10.254 
20 Backup GE0/0/0 Normal - 10. 10. 10. 251 
[AR2]display vrrp brief 

Total:2 Master: 1 Backup:1 . Non-active:0 

VRID State Interface Type Virtual 全 
10 Backup GEO/0/ 0 Normal ”10. 10. 10. 254 
20 Master GE0/0/0 、 Normal ”10. 10. 10. 251 


从 例 2-15 所 示 命 令 的 输出 信息 可 以 清晰 地 看 出 AR1 是 VRID 10 的 主 用 路 由 器 ， 是 
VRID 20 的 备用 路 由 堪 ; AR2 是 VRID 10 的 备用 路 由 器 ， 是 VRID 20 的 主 用 路 由 上 器。 管理 
员 再 分 别 让 网 络 中 的 一 部 分 用 户 PC 以 10. 10.j10. 254 为 网 基地 址 ， 另 一 部 分 用 户 PC 以 
10. 10. 10. 251 为 网 关 地 址 ， 就 实现 了 负载 分 担 。 
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VRRP 技术 提供 的 元 余 网 关 部 署 方 案 可 以 为 局 域 网 中 的 终端 提供 设备 层面 的 宛 余 。 既 
然 是 设备 层面 的 元 余 ， 这 种 设计 方案 中 自然 也 就 包含 了 端口 层面 和 链 路 层面 的 元 余 ， 这 
几乎 是 一 种 全 方位 的 元 余 方 案 。 然 而 ， 工 程 领域 并 不 是 解数 学 题 ， 一 个 网 络 的 设计 方案 
往往 不 存在 对 错 之 分 ， 更 多 是 人 们 针对 投入 产 出 比 作出 的 合理 性 考量 。 在 网 络 设计 中 ， 
人 们 确实 常常 会 针对 关键 位 置 节点 部 署 设备 层面 的 元 余 ， 因 为 关键 位 置 节点 在 网 络 中 的 
数量 有 限 、 作 用 重要 ， 针 对 关键 位 置 节 点 部 署 设 备 层 面 的 完 余 既 不 会 大 幅度 增加 整个 网 
络 的 成 本 ， 又 可 以 显著 提升 网 络 的 可 靠 性 ， 是 一 种 合理 的 设计 选择 。 然 而 ， 基 于 同样 的 
理由 研判 ， 我 们 也 可 以 得 出 另 一 个 结论 ， 那 就 是 针对 网 络 中 的 非 关 键 节 点 部 署 设备 层面 
的 元 余 并 不 合理 ， 因 为 这 类 设备 数量 庞大 ， 失 效 的 影响 范围 不 大 ， 针 对 这 些 设备 部 署 设 
- 备 层面 的 宛 余 会 大 幅度 增加 网 络 的 成 本 ， 但 对 于 可 靠 性 的 提升 作用 却 反而 十 分 有 限 。 此 
时 ， 另 一 类 仅 对 于 这 类 环境 部 署 端口 / 链 路 层面 兄 余 的 技术 ， 就 会 被 人 们 视 为 至 宝 。 在 
2. 3 节 中 ， 我 们 会 介绍 一 种 在 当今 局 域 网 中 极为 常见 的 端口 宛 余 技术 。 


2.3.1 链 路 聚合 介绍 





在 企业 网 三 层 设 计 方 案 的 拓扑 结构 中 ， 接 入 层 交 换 机 的 站 口 是 占 用 率 最 高 的 ， 因 为 
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接 入 层 交 换 机 需要 为 大 量 的 终端 设备 提供 连接 ， 并 且 将 大 多 数 往返 于 这 些 终端 的 流量 转 
发 给 汇聚 层 交 换 机 ， 而 这 意味 着 接 入 层 交 换 机 和 汇聚 层 交 换 机 之 间 的 链 路 需要 承载 着 更 
多 的 流量 。 所 以 , 接 入 层 交 换 机 与 汇聚 层 交 换 机 之 间 的 链 路 应 该 拥有 更 高 的 速率 。 然而， 
如 果 工 程 师 考虑 的 方法 是 直接 在 接 入 层 交 换 机 上 使 用 高 速率 端口 连接 汇聚 层 交换 机 ， 那 
么 接 入 层 交 换 机 的 成 本 就 会 增加 。 考 虑 到 一 个 企业 网 中 往往 需要 部 署 大 量 的 接 入 层 交 换 
机 ， 由 此 增加 的 预算 实在 不 容 小 靓 。 另 外 ， 这 种 采用 高 速率 端口 连接 汇聚 层 交 换 机 的 做 
法 也 存在 着 扩展 性 方面 的 问题 ， 这 就 是 说 当 接 入 层 交 换 机 的 上 行 流量 增加 到 超出 了 上 行 
端口 可 以 承载 的 极限 时 ， 工 程 师 无 法 利用 当前 的 平台 来 改善 这 一 问题 。 

从 理论 上 讲 ， 还 有 另 一 种 做 法 是 增加 链 路 的 带宽 ， 用 多 条 链 路 连接 两 台 交 换 机 ， 让 
交换 机 可 以 通过 利用 多 条 链 路 发 送 上 行 流量 ， 这 样 一 来 不 仅 提升 了 上 行 带宽 的 扩展 性 ， 
而 且 降 低 了 接 入 层 交 换 机 的 成 本 ， 一 举 两 得 。 不 过 ， 如 果 我 们 采用 多 条 平行 链 路 来 连接 
两 台 交换 机 ， 那 么 STP 就 会 为 了 避免 环 路 的 存在 而 阻塞 掉 其 中 的 大 部 分 端口 ， 最 终 能 够 
有 效 利用 来 传输 流量 的 上 行 链 路 还 是 只 有 一 条 ， 如 图 2-18 所 示 。 

上 面 这 种 情况 是 二 层 环境 中 面临 的 问题 ， 在 三 层 环境 中 ， 工 程 师 如果 希 望 扩展 设备 
之 间 的 链 路 带宽 ,那么 他 /她 也 面临 着 类 似 的 间 题 。 如 果 采 用 高 速率 端口 ， 就 会 提高 设备 
成 本 ， 而 且 扩展 性 差 ， 采 用 多 条 平行 链 路 连接 两 台 设备 的 做 法 虽然 不 会 因为 受到 STP 的 
影响 而 导致 只 有 一 条 链 路 可 用 ， 但 管理 员 却 必须 在 每 条 链 路 上 为 两 端的 端口 分 别 分 配 一 
个 IP 地址 ， 而 这 样 势必 会 增加 IP 地 址 资源 的 耗费 ，IP 网 络 的 复杂 性 也 会 因此 增加 ， 如 
图 2-19 所 示 。 | 


汇聚 层 交 换 机 















Ye 
人 办 
SN 路 由 器 A 
STP 阻 塞 掉 192.168.0.1/24 10.1.0.1/24 
(9 一 个 端口 以 和 
防备 环 路 
192 168.0 100/24 10.1.0.100/24 
FF 
接 入 层 交 换 机 路 由 器 B 
图 2-18 在 有 多 条 上 行 链 路 时 STP 阻塞 图 2-19 三 层 环境 中 部 署 有 多 
其 中 一 条 链 路 的 一 个 端口 条 上 行 链 路 会 浪费 更 多 IP 地 址 


根据 扩展 链 路 带宽 的 需求 ， 我 们 可 以 得 出 这 样 一 个 结论 : 如 条 当 我 们 使 用 多 条 链 路 
连接 两 合 设备 时 ， 我 们 最 好 能 够 让 两 按 的 设备 将 其 视 为 一 条 链 路 进行 处 理 。 我 们 的 目的 
是 实现 这 样 的 效果 : 对 于 二 层 环境 ，STP 就 不 会 将 这 些 平 行 链 路 构成 的 连接 视 为 环 路 ; 
而 在 三 层 环境 中 ， 我 们 又 只 需要 给 这 条 链 路 的 两 端 配置 一 对 IP 地 址 就 可 以 满足 全 部 链 路 
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的 通信 人 需求。 我 们 在 2. 3 节 中 要 介绍 的 链 路 聚合 技术 就 满足 了 这 样 的 需求 。 在 使 用 链 路 
聚合 技术 时 ， 管 理 员 只 需要 在 两 端的 设备 上 分 别 创建 一 个 罗 辑 的 链 路 聚合 端口 ， 然 后 将 
连接 这 些 平行 链 路 的 物理 端口 都 加 入 到 这 个 逻辑 端口 中 。 此 后 ， 当 网 络 设 备 需 要 通过 这 
些 物理 端口 连接 的 链 路 转发 流量 时 ， 就 会 以 逻辑 端口 作为 出 站 端 路 由 器 和 
口 执行 转发 ， 让 流量 在 其 中 捆绑 的 各 个 物理 链 路 上 执行 负载 分 担 。 
图 2-20 所 示 为 在 三 层 环境 中 采用 链 路 聚合 技术 , 将 3 条 连接 路 由 
器 的 链 路 捆绑 为 了 一 条 链 路 ， 此 时 管理 员 就 只 需要 在 这 条 链 路 两 
端的 逻辑 端口 上 分 别 配置 一 个 IP 地 址 即 可 。 接 下 来 ， 两 会 设备 就 
会 使 用 这 3 条 平行 链 路 来 负载 分 担 两 台 设备 之 间 的 流量 。 

通过 上 面 的 叙述 ， 我 们 可 以 得 出 这 样 的 结论 链 路 聚合 这 种 
捆绑 技术 可 以 让 我 们 将 多 个 以 太 网 链 路 捆绑 为 一 条 逻辑 的 以 太 网 







192.168.0.1/24 


192.168.0.100/24 


B 
链 路 。 这 样 一 来 ， 在 采用 通过 多 条 以 太 网 链 路 连接 两 台 设备 的 元 A 
余 设计 方案 时 ， 所 有 链 路 的 带宽 都 可 以 充分 用 来 转发 两 台 设 备 之 。 “Wun 
间 的 流量 ， 如 果 使 用 三 层 链 路 连接 两 台 设备 ， 这 种 方案 还 可 以 起 到 节省 IP 地 址 的 作用 。 
在 2.3.1 节 中 ， 我 们 大 致 介绍 了 链 路 聚合 的 概念 。 在 2. 3.2 节 中 ， 我 们 则 会 介绍 两 
种 建立 链 路 聚合 的 方式 。 


2.3.2 ” 链 路 聚合 的 模式 


建立 链 路 聚合 〈 后 文 称 Eth-Trunk) 也 像 设置 端口 速率 一 样 有 手动 配置 和 通过 双方 
动态 协商 两 种 方式 。 在 华为 的 Eth-Trunk 语 境 中 ， 前 者 称 为 手动 模式 (Manual Mode) ， 
而 后 者 则 根据 协商 协议 被 命名 为 了 LACP 模式 (LACP Mode) 。 在 2.3.2 节 中 ， 我 们 会 分 
别 介绍 这 两 种 做 法 。 首 先 ， 我 们 先 从 非常 简单 的 手动 配置 方法 说 起 。 

1. 手动 模式 

及 用 Eth-Trunk 的 手动 模式 就 像 配置 静态 路 由 ， 或 者 在 本 地 设置 端口 速率 一 样 ， 都 
是 一 种 把 功能 设置 本 地 化 、 静 态 化 的 操作 方式 。 说 得 具体 一 些 ， 就 是 管理 员 在 一 台 设 备 
上 创建 出 Eth-Trunk， 然 后 根据 目 己 的 需求 将 多 条 连接 同一 台 交 换 机 的 端口 都 添加 到 这 
个 Eth-Trunk 中 ， 然 后 再 在 对 闹 交 换 机 上 执行 对 应 的 操作 。 既 然 是 一 种 把 功能 设置 本 地 
化 的 操作 人 逻辑， 因此 对 于 采用 手动 模式 配置 的 Eth-Trunk， 设 备 之 间 不 会 就 建立 
Eth-Trunk 而 交互 信息 ， 它 们 只 会 按照 管理 员 的 操作 执行 链 路 捆绑 ， 然 后 采用 负载 分 担 
的 方式 通过 捆绑 的 链 路 发 送 数据 。 

在 这 一 部 分 开篇 我 们 曾经 将 手动 模式 建立 Eth-Trunk 与 静态 路 由 进行 了 类 比 。 实 际 
上 ， 手 动 模式 建立 Eth-Trunk 就 像 静 态 添 加 到 路 由 表 中 的 路 由 条 目 那 样 ， 它 比 动态 学 习 
到 的 路 由 更 加 稀 定 ， 但 缺乏 灵活 性 。 如 果 静 态 路 由 的 出 站 接口 为 “DOWN” 状 态 ， 那 么 路 
由 需 就 会 将 这 条 静态 路 由 从 路 由 表 中 和 暂时 删 兵 ， 直 至 这 个 出 站 接口 的 状态 恢复 为 止 ， 否 
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则 即使 这 条 静态 路 由 是 一 个 路 由 黑 铜 ， 路 由 夫 也 会 训 不 知情 地 进行 转发 。 

同 理 ， 如 果 在 手动 模式 配置 的 Eth-Trunk 中 有 一 条 链 路 出 现 了 故障 ， 那 么 双方 设备 
可 以 检测 到 这 一 点 ， 并 且 不 再 使 用 那 条 故障 链 路 ， 而 继续 使 用 仍然 正常 的 链 路 来 发 送 数 
据 。 尽 管 因为 链 路 故障 导致 一 部 分 带宽 无 法 使 用 ， 但 通信 的 效果 仍然 可 以 得 到 保障 ， 如 
图 2-21 所 示 。 






| Yle | mw Eth-Trunk | 






ROG ee 
图 2-21 手动 模式 Eth-Trunk 使 用 故障 链 路 外 的 其 他 链 路 执行 负载 分 担 
然而 ， 如 果 某 台 交 换 机 上 以 手动 模式 配置 的 Eth-Trunk 中 有 一 条 链 路 工作 正常 ， 但 
它 连 接 的 是 另 一 台 交 换 机 , 管理 员 因 为 配置 错误 而 将 它 划 分 到 了 Eth-Trunk 逻辑 端口 中 ， 
那么 这 台 交 换 机 同样 会 训 不 知情 地 使 用 这 个 冰 口 进行 转发 ， 如 图 2-22 所 示 。 
Romeo A 
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图 2-22 手动 模式 Eth-Trunk 因 配 置 错误 而 无 法 正常 通信 
守 
2. LACP 模式 


LACP 为 链 路 聚合 控制 协 诬 :(Link Aggregation Control Protocol) ， 这 个 协议 旨 
在 为 建立 链 路 聚合 的 设备 之 间 提 供 协商 和 维护 这 条 Eth-Trunk 的 标准 。LACP 模式 
Eth-Trunk 的 配置 也 不 复杂 ， 管 理 员 只 需要 首先 在 两 边 的 设备 上 创建 出 Eth-Trunk 逻辑 
端口 ， 然 后 将 这 个 端口 配置 为 LACP 模式 ， 最 后 再 把 需要 捆绑 的 物理 交口 添加 到 这 个 
Eth-Trunk 中 即 可 。 

在 《路 由 与 交换 技术 》 介 绍 浮动 静态 路 由 时 ， 我 们 曾经 以 汽车 安 闭 备 胎 进行 类 比 ， 
说 明了 一 些 网 络 基础 设施 只 适合 在 主 用 基础 设施 无 法 使 用 时 临时 进行 惟 换 。 在 
Eth-Trunk 环境 中 ， 有 时 也 存在 相同 的 需求 : 对 于 捆绑 在 Eth-Trunk 中 的 链 路 ， 管 理 员 
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有 时 候 希 望 两 台 设备 只 将 其 中 的 W 条 作为 主 用 链 路 来 负载 分 担 流量 ， 另 外 的 w 条 则 留待 
主 用 链 路 出 现 故 障 时 进行 替换 。 这 种 需求 可 以 通过 LACP 模式 提供 的 一 种 称 为 :模式 
的 备份 链 路 机 制 来 实现 。 下 面 , 我 们 来 简单 介绍 一 下 两 台 设 备 是 如 何 协商 建立 LACP 模式 
Eth-Trunk 的 。 

首先 ， 两 台 设 备 会 分 别 在 管理 员 完成 LACP 配置 之 后 ， 开 始 向 对 端 发 送 LACP 数据 单 
元 《简称 LACPDU) 。 在 双方 交换 的 这 个 LACPDU 中 ， 包 含 了 一 个 称 为 系统 优先 级 的 参数 。 
在 完成 LACPDU 交换 之 后 ， 双 方 交 换 机 会 使 用 系统 优先 级 来 判断 谁 充当 两 者 中 的 LACP 主 
动 端 。 如 双方 系统 优先 级 相同 ， 则 MAC 地 址 较 小 的 交换 机 会 成 为 LACP 主动 端 。 

在 确定 LACP 主动 哨 之后， 双方 会 继续 依次 比较 LACP 主动 疹 设 备 各 个 问 口 的 LACP 
优先 级 。 端 口 优先 级 同样 包含 在 答 个 端口 发 出 的 LACPDU 当中 ， 其 中 端口 优先 级 最 高 ( 端 
口 优先 级 的 数值 越 低 , 代表 优先 级 越 高 ) 的 W/ 个 端口 会 与 对 端 建立 Eth-Trunk 主 用 链 路 ， 
其 余 端口 则 会 与 对 端 建立 Eth-Trunk 备用 链 路 。 在 图 2-23 中 , 由 于 交换 机 A 的 系统 优先 
级 高 于 交换 机 B， 因 此 交换 机 A 成 为 LACP 主动 端 。 又 因为 管理 员 将 主 用 链 路 的 数量 设置 
为 了 2 条， 而 交换 机 A 的 端口 1、3 的 端口 优先 级 最 高 ， 因此 Eth-Trunk 中 的 1、3 两 个 
端口 所 连接 的 链 路 为 主 用 链 路 ， 而 端口 2 连接 的 链 路 则 为 备用 链 路 一 一 尽管 在 交换 机 B 
上 端口 2 的 端口 优先 级 实际 上 最 高 也 无 济 于 事 ， 因 为 主 备 链 路 的 选举 只 由 主动 端 交换 机 
根据 自身 端口 优先 级 来 决定 。 


端口 1 优先 级 10 端口 1 优先 级 10 


Lrc 下 全 二 ae 





| 


交换 机 A 交换 机 B 
LACP 主 动 端 LACP 被 动 端 


图 2-23 LACP 模式 Eth-Trunk 的 主 用 链 路 和 备用 链 路 


在 图 2-23 所 示 的 情形 中 ， 如 果 交 换 机 A 端口 1 或 端口 3 无 法 通信 ， 那 么 端口 2 所 
连接 的 链 路 就 会 被 激活 并 且 开 始 承 担 流量 负载 ， 这 了 束 是 LACP 模式 Eth-Trunk 提供 的 WN: 
/备份 机 人 制 。 

如 果 在 Eth-Trunk 的 LACP 主动 端 上 ， 有 一 个 比 主 用 链 路 端口 优先 级 值 更 优 的 端口 
被 添加 了 进来 或 者 故障 端口 得 到 了 恢复 ， 那 么 这 个 端口 所 连接 的 链 路 是 否 会 作为 主 用 链 
路 被 添加 到 Eth-Trunk 中 ， 取 决 于 Eth-Trunk 是 否 配 置 了 抢占 模式 。 顾 名 思 义 ， 如 果 管 
理 员 没有 配置 抢占 模式 ,那么 即使 新 加 入 /恢复 的 端口 优先 级 比 当 前 主 用 链 路 所 连 端 口 的 
优先 级 更 高 ， 这 些 端 口 所 在 的 链 路 也 不 会 成 为 主 用 链 路 。 

在 2. 3. 2 市 中 ， 我 们 介绍 了 两 种 链 路 聚合 模式 的 工作 方式 。 在 2. 3. 3 节 中 ， 我 们 会 
演示 如 何 配 置 和 调试 Eth-Trunk。 
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2.3.3” 链 路 聚合 的 配置 


在 学 习 了 链 路 聚合 特性 的 作用 与 功能 后 ， 我 们 在 2. 3. 3 市 来 演示 如 何在 华为 交换 机 
上 实现 二 层 链 路 聚合 功能 。 RE 2. 3. 3 节 将 会 使 用 图 2-24 所 示 拓 扑 来 展示 两 台 交 换 机 
SW1 和 SW2 之 间 的 链 路 聚合 配置 。 这 两 台 交 换 机 可 以 是 网 络 中 任意 位 置 的 两 台 需 要 配置 
链 路 聚合 模式 的 交换 机 ，2. 3. 3 节 只 展示 两 台 交 换 机 之 间 的 链 路 聚合 配置 ， 并 不 涉及 任 - 
何 设计 层面 的 内 容 。 


SW2 
EO/0/1 
ue SS 





EO/0/3 EO/0/3 
图 2-24 ” 链 路 聚合 配置 环境 


下 面 ， 我 们 先 来 演示 如 何 手动 配置 链 路 聚合 。 下面 的 案例 会 以 图 2-24 为 拓扑 ， 拒 
SWL 和 SW2 的 E0/0/1、E0/0/2 和 E0/0/3 接口 进行 链 路 聚合 。 管 理 员 在 SW 和 SW2 上 实 
施 了 例 2-16 中 的 配置 。 
例 2-16 在 SW1 和 SW2 上 实施 手动 配置 的 链 路 聚合 功能 
[SWlj interface eth-trunk 10 
[SW1-Eth-Trunkl0Ojtrunkport Ethernet 0/0/1 to 0/0/3 于 
[SW1-Eth-Trunkl0]port link-type trunk 
[SW1-Eth-Trunki01port trunk allow-pass vlan all 
[SW2]interface eth-trunk 10 
[SW2-Eth-Trunk10] trunkport Ethernet'0/0/1 to 0/0/3 
[SW2-Eth-Trunk10]port link-type trunk 
[SW2-Eth-Trunkl0lport trunk allow-pass vlan all 
接 下 来 我 们 逐条 解析 例 2-16 中 的 配置 命令 ，SW1 和 SW2 上 的 配置 命令 完全 相同 。 
。 interface eth-trunk 10: 系统 视图 命令 ， 用 来 创建 并 进入 Eth-Trunk 接口 。 
管理 员 可 以 指定 Eth-Trunk 接口 的 编号 ， 取 值 范围 是 0 一 63“， 本 例 中 选择 了 
10。 到 

e trunkport Ethernet 0/0/1 to 0/0/3: Eth-Trunk 接口 视图 命令 ， 用 来 问 
Eth-Trunk 接口 中 添加 成 员 接 口 。 管理 员 可 以 使 用 关键 字 to 来 快速 添加 多 个 编 
写 连续 的 接口 。 需 要 注意 的 是 ， 在 一 个 Eth-Trunk 中 ， 管 理 员 必须 指定 类 型 相 
同 的 接口 。 在 本 例 中 ， 管 理 员 把 接口 E0/0/1、E0/0/2 和 E0/0/3 作为 成 员 接口 
添加 到 Eth-Trunk 10 中 。 

e。 port link-type trunk: 接口 视图 命令 ， 用 来 把 接口 的 链 路 类 型 设置 为 Trunk， 


”不 同型 号 设备 的 取 值 范围 有 所 不 同 ， 有 具体 以 设备 使 用 手册 为 准 。 
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这 与 普通 物理 接口 的 命令 相同 。 
e port trunk allow-pass vlan all: 接口 视图 命令 ， 用 来 允许 这 个 Trunk 链 路 
能 够 发 送 的 VLAN 流量 , 这 与 普通 物理 接口 的 命令 相同 。 本 例 中 放行 了 所 有 VLAN 
的 流量 。 
管理 员 可 以 使 用 命令 display eth-trunk 10 来 检查 这 个 Eth-Trunk 以 及 成 员 接 口 
的 状态 ， 详 见 例 2-17 所 示 。 
例 2-17 在 SW1 上 检查 Eth-Trunk 的 配置 和 状态 


[SWljdisplay eth-trunk ‘10 人 

_Eth-Trunkl0 s state information is: 
WorkingMode: NORMAL 本 Hash arithmetic: According to SA-XOR-DA 
Least Active-linknumber: 下 Max Bandwidth-affected-linknumber: 8 
Operate status: up “Number Of Up Port In Trunk: 3 
PortName Status , Weight 
BE 
Ethernet0/0/2 re ee ee 
Bt \ Tr i 
[SW1] 


从 例 并 17 命令 输出 内 容 的 阴影 部 分 我 们 可 以 看 出 刚才 添加 的 3 个 成 员 接 口 状 态 和 
转发 权重 ， 这 3 个 接口 的 状态 都 是 “UP”， 权 重 都 是 “1”， 也 就 是 说 交换 机 在 转发 所 有 
VLAN 的 流量 时 ， 会 把 流量 平均 分 配 到 这 3 条 物理 链 路 上 进行 传输 。 

手动 模式 配置 简单 方便 ， 但 是 无 法 检测 到 链 路 层 故 障 、 链 路 错 连 等 故障 。 所 以 在 现 
网 中 ， 如 果 设 备 支 持 LACP， 尽 量 使 用 LACP 来 配置 和 维护 链 路 聚合 功能 。 接 下 来 我 们 丈 
把 上 述 拓 扑 中 的 设备 配置 清空 ， 再 次 展示 LACP 的 配置 ， 话 见 例 2-18 所 示 。 

例 2-18 在 SW1 和 SW2 se 上 汪 本 LACP 

[LSWlj interface Eth-Trunk 20 

[SW1—Eth-Trunk20]mode lacp-static 

[SW1=Eth-Trunkl0]trunkport Ethernet 0/0/1 to 0/0/3 

[SW2]interface Eth-Trunk 20 

[SW2-Eth-Trunk20]mode lacp-static 

[SW2-Eth-Trunkl0]trunkport Ethernet 0/0/1 to 0/0/3 

接 下 来 我 们 逐条 解析 例 2-18 中 的 配置 命令 ，SW1 和 SW2 上 的 配置 命令 完全 相同 。 

。 interface eth-trunk 20: 系统 视图 命令 ， 用 来 创建 并 进入 Eth-Trunk 接口 ， 

这 条 命令 与 手动 配置 相同 。 管 理 员 可 以 指定 Eth-Trunk 接口 的 编号 ， 取 值 范 转 
是 0 一 63， 本 例 中 选择 了 20。 
。 mode lacp-static: Eth-Trunk 接口 视图 命令 ， 用 来 启用 LACP 工作 模式 。 默 认 
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情况 下 Eth-Trunk 的 工作 模式 是 手动 模式 ,如 果 需 要 把 当前 为 LACP 工作 模式 的 

Eth-Trunk 接口 更 改 为 手动 配置 的 话 ， 需 要 在 Eth-Trunk 接口 视图 中 使 用 命令 

mode manual 。 两 端 设 备 的 Eth-Trunk 工作 模式 必须 相同 ， 并 且 需 要 注意 的 是 ， 

在 把 Eth-Trunk 接口 更 改 为 LACP 工作 模式 时 ,Eth-Trunk 中 可 以 包含 成 员 接口 ; 

但 反之 把 Eth-Trunk 接口 更 改 为 手动 工作 模式 时 ，Eth-Trunk 接口 中 不 能 有 任 

何 成 员 接 口 。 手 动 模式 是 默认 的 Eth-Trunk 模式 。 

trunkport Ethernet 0/0/1 to 0/0/3: Eth-Trunk 接口 视图 命令 ， 用 来 辐 

Eth-Trunk 接口 中 添加 成 员 接口 ， 这 条 命令 与 手动 配置 相同 。 管 理 员 可 以 在 两 

个 接口 编号 之 间 使 用 关键 字 to 来 快速 添加 多 个 编号 连续 的 接口 。 需 要 注意 的 

是 ， 在 一 个 Eth-Trunk 中 ， 管 理 员 必 须 指定 类 型 相同 的 接口 。 在 本 例 中 ， 管 理 

员 把 接口 E0/0/1、E0/0/2 和 E0/073 作为 成 员 接 口 添加 到 Eth-Trunk 10 中 。 除 

了 以 这 种 方式 添加 成 员 接 口外 ， 管 理 员 还 可 以 在 成 员 接 口 视 图 中 ， 使 用 命令 

eth-trunk trunk-id， 使 当前 接口 加 入 某 个 Eth-Trunk。 在 把 成 员 接口 加 入 到 

Eth-Trunk 时 ， 管 理 员 要 注意 以 下 注意 事项 : : 

sn ”每 个 Eth-Trunk 接口 下 最 多 支持 8 个 成 员 接口 ; 

@ ”在 把 成 员 接 口 加 入 到 Eth-Trunk 时 ， 成 员 接 口 必 须 为 默认 的 接口 类 型 ; 

mn “加 入 到 Eth-Trunk 的 成 员 接口 不 能 是 Eth-Trunk 接口 ; 

m 一 个 以 太 网 接口 只 能 加 入 一 个 Eth-Trunk， 如 果 管 理 员 要 把 它 添 加 到 其 他 
Eth-Trunk 中 ， 需 要 首先 让 它 退 出 当前 的 Eth-Trunk; 

a 一 个 Eth-Trunk 中 的 所 有 成 员 接口 必须 为 相同 类 型 ; 

@ 一 条 链 路 两 端的 接口 必须 都 如 入 是 都 加 入 同一 个 Eth-Trunk， 这 样 两 端 设 
备 才 能 够 正常 通信 ; 

sm ”Eth-Trunk 链 路 两 端的 物理 接口 数量 、 速 率 、 双 工 模式 等 参数 必须 保持 一 致 。 


管理 员 可 以 使 用 命令 display eth-trunk 20 来 检查 这 个 Eth-Trunk 以 及 成 员 接口 


详 见 例 2-19 所 示 。 家 


例 2-19 在 SW1 上 检查 Eth-Trunk 的 配置 和 状态 
[SWll]display eth-trunk 20 和夫 : 


Eth=Trunk20 s state information is: ~ 


Local: 

LAG ID: 20 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 32768 System 1D: 4clf-ceci"3T74a 


Least Active-linknumber: 1 Max Active-linknumber: 8 


OQperate status: up Number Of Up Port In Trunk: 3 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
Ethernet0/0/1 Selected 100M 32768 2 5153 10111100 1 
Ethernet0/0/2 Selected 100M 32768 _3 5153 10111100 1 
Ethernet0/0/3 Selected 100M 32768 4 5153 10111100 1 











S32768 dclficc2a74f1 32768, 2 I 10111100 
2768 ea et ps 于 Se “10111100 
a “aclf-cc2a-74f1 32768 4 ~ ‘5153 - 10111100 





[SWH] 
这 条 命令 的 输出 信息 要 比 手动 配置 时 的 信息 丰富 很 多 ， 并 且 显 示 信 息 分 为 两 大 部 
分 ， 上 半 部 分 为 本 地 成 员 接 口 信息 ， 下 半 部 分 (阴影 为 对 端 成 员 接口 信息 。 在 这 里 ， 
我 们 需要 着 重 关 注 以 下 字段 的 含义 
e ActorPortName: 本 地 成 员 接 口 或 对 疹 成 员 接口 的 名 称 。 
e。 Status: 本 地 成 员 接口 的 状态 ， 在 LACP 模式 下 状态 分 为 Selected (表示 接口 
被 选中 并 成 为 主 用 接口 ) 和 Unselect (表示 接口 未 被 选中 并 成 为 备用 接口 )， 
在 手动 配置 模式 下 状态 分 为 Up (表示 接口 状态 正常 ) 和 Down (表示 接口 出 现 物 
理 故障 )。 
e PortType: 本 地 成 员 接 口 的 类 型 。 
。 PortPri: 本 地 成 员 接 口 或 对 端 成 员 接口 的 LACP 端口 优先 级 。 
e SysPri: 对 端 系统 的 LACP 系统 优先 级 。 
e。 SystemID: 对 端 系统 的 系统 ID。 
接 下 来 我 们 来 关注 几 个 LACP 模式 中 的 Eth-Trunk 可 选 配置 参数 。 
1. LACP 系统 优先 级 
在 LACP 模式 下 , 两 端 设备 的 活动 接口 必须 保持 一 致 , 这 样 才能 正常 建立 Eth-Trunk。 
为 了 让 两 端 设备 能 够 动态 地 确定 活动 接口 ，LACP 会 根据 系统 优先 级 确定 主动 端 ， 并 让 主 
动 端 来 选择 活动 接口 。 管 理 员 可 以 手动 更 改 这 个 参数 ， 优 先 级 的 取 值 范围 是 0 一 65535， 
默认 值 为 32768， 数 值 越 小 优先 级 越 高 。 在 默认 情况 下 ， 两 端 优先 级 相同 ， 这 时 它们 会 
使 用 系统 MAC 地 址 来 确定 谁 是 主动 端 ，MAC 地 址 小 的 为 主动 端 。 在 本 例 中 ， 管 理 员 要 让 
SW1 成 为 主动 端 ， 并 把 它 的 LACP 系统 优先 级 设置 为 2000， 详 见 例 2-20 所 示 。 
例 2-20 在 SW1 上 设置 LACP 系统 优先 级 并 查看 相关 信息 


[SWlljlacp priority 2000 
[SWlldisplay eth-trunk 20 
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Eth-Trunk20’ s _ state information is: 





Local: 

LAG ID: 20 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP—XOR-DIP 

System Priority: 2000 System ID: 4clf-cccl-374a 

Least Active-linknumber: 1 Max Active-linknumber: 8 

OQperate status: up Number Of Up Port In Trunk: 3 

ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
Ethernet0/0/1 Selected 100M 2327068 > 居 5153 10111100 1 
Ethernet0/0/2 Selected 100M 32768 3 5153 10111100- 1 
Ethernet0/0/3 Selected 100M 32768 4 5153 10111100 1 
Partner: 

ActorPortName SysPri SystemlD PortPri PortNo Portkey PortState s 
Ethernet0/0/1 32768 4clf-ce2a-74f]1 32768 2 5153 10111100 
Ethernet0/0/2 32768 4tlf=ce2a-T4f1 “32708 3 S153 10111100 
Ethernet0/0/3 32768 4clf=~ee2a—74flL -32768" “4 SE03 , 10111100 
[SW1] | 4 


在 例 2-20 中 ， 管 理 员 先 使 用 系统 视图 命令 lacp priority 2000， 把 SW1 的 LACP 系 
统 优先 级 更 改 为 2000; 然后 使 用 命令 display eth-trunk 20 确认 了 配置 的 变更 结果 ， 
阴影 部 分 显示 出 SW1 本 地 的 LACP 系统 优先 级 值 2000。 

2. LACP 接口 优先 级 

LACP 接口 优先 级 的 配置 命令 与 LACP 系统 优先 级 类 似 ， 只 是 这 时 需要 管理 员 在 成 员 
接口 的 接口 视图 中 进行 配置 ， 详 见 例 2-21 所 示 。 

例 2-21 在 SW1 上 设置 LACP 接口 优先 级 并 查看 相关 信息 

[SWl jinterface e0/0/1 \ 

[SWIi-Ethernet0/071]1acp priority 1000 

[Sw1-Ethernet0/0/1]interfad e0/0/2 

[SW1-Ethernet0/0/2]lacp priority 2000 

[SW1-~Ethernet0/0/2]interface e0/0/3 

[SW1=Ethernet0/0/3]lacp priority 3000 

[SW1-Ethernet0/0/3]quit 

[SWljdisplay eth-trunk 20 

Eth-Trunk20 s state information is: 


Local: 
LAG ID: 20 WorkingMode: STATIC 
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Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 





System Priority: 2000 System ID: 4clf-ceccl-374a 

Least Active-linknumber: 1 Max Active~linknumber: 8 

OQperate status: Up Number Of Up Port In Trunk: 3 
ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
Ethernet0/0/1 Selected 100M 1000 2 5153 10111100 1 
Ethernet0/0/2 Selected 100M . W000 3 ,5153 10111100 1 
Ethernet0/0/3 Selected 100M 3000 4 5153 10111100 1 
Partner: 

artner 和 
ActorPortName SysPri SystemID PortPri PortNo PortKey PortState 
Ethernet0/0/1 32768 Ci 一 ec2a 一 /下 全 :827168 二 记 5153 10111100 
Ethernet0/0/2 32768 4clf-ce2ar?74fl "321768 -3 5153 10111100 
Ethernet0/0/3 . 32768 rs 32768 4 5153 10111100 
[SW1] 


例 2-21 先 在 SWl 上 对 E0/0/1、E0/0/2 和 E0/0/3 的 LACP 优先 级 进行 了 设置 ， 分 别 
配置 为 1000、2000 和 3000; 然后 使 用 命令 display eth-trunk 20 戎 认 了 本 本 的 交 守 风 
果 ， 阴影 部 分 显示 出 SW1 本 地 成 员 接口 的 LACP 优先 级 数值 。 

LACP 接口 优先 级 的 工作 还 与 活动 接口 的 数量 以 及 LACP 抢占 功能 两 个 参数 相关 。 

3. Eth-Trunk 中 活动 接口 的 数量 

在 每 个 Eth-Trunk 中 ， 默 认 的 活动 接口 数量 为 8 个 接口 ， 管 理 员 可 以 根据 实际 需求 
更 改 这 个 参数 ， 取 值 范围 是 1 一 8。 本 例 中 把 Eth-Trunk 20 中 的 活动 接口 数量 更 改 为 2， 
详 见 例 2-22。 

例 2-22 在 SW1 上 设置 Eth-Trunk 20 中 的 活动 接口 数量 并 查看 相关 信息 


[SW1lj interface eth-trunk 20 
[SW1-Eth=-Trunk20]max active-linknumber 2 
[SWl-Eth=-Trunk20]quit 

[SWljdisplay eth-trunk 20 


Eth-Trunk20’s state information is: 


Local: 

LAG ID: 20 WorkingMode: STATIC 

Preempt Delay: Disabled Hash arithmetic: According to SIP-XOR-DIP 
System Priority: 2000 System ID: 4clf-cccl-374a 

Least Active-linknumber: 1 Max Active-linknumber: 2 

OQperate status: up Number Of Up Port ln Trunk: 2 





一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
Ethernet0/0/1 Selected 100M 1000 2 5153 10L tL00 ~ .1 
Ethernet0/0/2 Selected 100M 2000 3 5153 10111100 1 
Ethernet0/0/3 Unselect 100M 3000 4 5153 -10100000 1 
Partner: 

ActorPortName SysPri SystemlD PortPri PortNo PortKey PortState 
Ethernet0/0/1 32768 4clf-cc2a-74fl 32768 2 5153 10111100 
Ethernet0/0/2 32768 4clf—-cec2a~-74fl] 32768- ”3 5153 10111100 
Ethernet0/0/3 32768 4clf-cc2a-74f1 '32768 4 5153 10110000 
[SW1] 


例 2-22 先 在 SW1 的 Eth-Trunk 接口 视图 下 使 用 命令 max active-linknumber 2 更 
改 了 Eth-Trunk 20 中 的 活动 接口 数量 ; 然后 使 用 命令 display eth-trunk 20 确认 了 配 
置 的 变更 结果 ， 第 一 个 阴影 行 显 示 出 Max Active-linknumnber (最 大 活动 链 路 数量 ) 已 
经 由 默认 的 8 更 改 为 2。 更 重要 的 是 ， 第 二 个 阴影 行 显示 出 SW1 上 LACP 接口 优先 级 最 低 
的 接口 已 经 成 为 Unselect 〈 备 用 接口 ) 。 

4. 活跃 接口 故障 时 自动 启用 备用 接口 

接 下 来 我 们 通过 在 SW1 上 关闭 E0/0/1 接口 来 模拟 E0/0/1 接口 的 物理 故障 ， 并 观察 
抢占 的 结果 ， 详 见 例 2-23 所 示 。 

例 2-23 在 SW1 上 禁用 E0/0/1 并 查看 Eth-Trunk 状态 

[SWH interface E0/OV1 

[SW1-Ethernet070/1]shutdown 


[SW1-~Ethernet0/0/1]quit 
[SWljdisplay eth-trurik 20 

















、 
Eth-Trunk20’ s state information is: Ee 
Local: 
LAG ID: 20 人 WorkingMode: STATIC 
Preempt Delay: Disabled HRsh arithmetic: According to SIP-XOR-DIP 
System Priority: 2000 System ID: 4clf-cecl-374a 
Least Active-linknumber: 1 Max Active-linknumber: 2 
Operate status: up Number Of Up Port In Trunk: 2 
ActorPortName Status PortType PortPri PortNo PortKey Portstate Weight 
有 Re 
Ethernet0/0/2 Selected 100M 2000 3 5153 10111100 1 
Ethernet0/0/3 Selected 100M 3000 4 HtD35 EOFELEIOO I 
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Partner 

ActorPortName SysPri SystemID PortPri PortNo PortKey PortState 
Ethernet0/0/1 0 0000-0000-0000 0 0 0 10100011 
Ethernet0/0/2 32768 4clf~cc2a=74f] 32768 3 5153 10111100 
Ethernet0/0/3 32768 4clf-cec2a-74fl 32768 4 5153 10111100 
[SW1] 

从 例 2-23 中 的 前 两 个 阴影 行 我 们 可 以 看 出 ， 现 在 E0/0/1 已 经 不 再 是 活动 接口 ， 而 


了 


E0/0/3 目 动 成 为 活动 接口 , 承担 流量 转发 工作 。 最 后 一 个 阴影 行 展示 出 对 端 接口 E0/0/1 
的 状态 参数 都 为 空 ， 从 这 里 也 可 以 看 出 这 条 链 路 的 状态 并 不 正常 

5. LACP 抢占 功能 

要 想 在 E0/0/1 接口 恢复 正常 工作 后 ， 让 SW1 能 够 自动 切换 回 使 用 E0/0/1， 管 理 员 
还 需要 局 用 LACP 抢占 功能 ， 详 见 例 2-24 所 示 。 

例 2-24 在 SW1 上 配置 LACP 抢占 功能 并 查看 相关 信息 

[SW1lj interface Eth-Trunk 20 

[SW1-Eth-Trunk20]lacp preempt enable 

[SWI1~Eth-Trunk20]lacp preempt delay 10 

[SWI-Eth-Trunk20]quit 

LSW1|initerface e0/0/1 

[SW1-Ethernet0/0/1]jundo shutdown 

[SWI1-Ethernet0/0/1]quit 

[SWiljdisplay eth-trunk 20 


~ Eth-Trunk20’' s state information is: 


Local:- 

LAG ID: 20 WorkingMode: STATIC 

Preempt Delay Time: 10 Hash arithmetic: According to SIP-XOR-DIP 

System Priority: 2000 System ID: 4clf-cccl-374a 

Least Active-linknumber: 1 Max Active-linknumber: 2 

Operate status: up Number Of Up Port In Trunk: 2 

ActorPortName Status PortType PortPri PortNo PortKey PortState Weight 
Ethernet0/0/1 Selected 100M 1000 2 re i 
Ethernet0/0/2 Selected 100M 2000 3 5153 10111100 1 
Ethernet0/0/3 Unselect 100M 3000 4 5153 10100000 1 
Partner: 

ActorPortName SysPri SystemlD PortPri PortNo PortKey PortState 


高 级 网 络 技术 


Ethernet0/0/1 32768 4clf-~cec2a-74fl 32768 2 95153 10111100 
Ethernet0/0/2 32768 4clf=ce2a-7?4ftl ‘327168 “3 5153 10111100 
Ethernet0/0/3 32768 4clf-cc2a-74fl 32768 4 5153 10110000 
[SW1] 


例 2-24 先 在 SW1 的 Eth-Trunk 接口 视图 下 使 用 命令 lacp preempt enable， 为 
Eth-Trunk 20 启用 了 抢占 功能 ;然后 使 用 命令 lacp preempt delay 10 更 改 了 抢占 延迟 
时 间 ， 这 个 参数 以 秒 为 单位 ， 取 值 范 围 是 10~~180， 默 认 值 为 30。 

接着 启用 E0/0/1 接口 ， 并 使 用 命令 display eth-trunk 20 验证 当前 的 Eth-Trunk 
状态 ， 第 一 个 阴影 行 显示 出 Preempt Delay Time: 10， 表 示 局 用 了 抢占 功能 ， 并 且 延 迟 
时 间 为 10 秒 。 第 二 个 阴影 行 显示 出 E0/0/1 在 局 用 后 已 经 再 次 抢占 为 活动 接口 ， 抢 占 功 
能 测试 成 功 。 

例 2-25 中 展示 了 SW2 上 的 命令 display eth-trunk 20 显示 信息 。 

例 2-25 在 SW2 上 查看 Eth-Trunk 20 状态 

[SW2]jdisplay eth-trunk 20 


Eth=Trunk20 s state information is: 





Local : 
20 WorkingMode: STATIC Sh 

mpt Del: “Dis: Hash arithmetic: According to SIP-XOR-DIP \ 
ey Priority: 32768 System ID: 4clf-cc2a-74f1 
Least Active-linknumber: 1 Max Active-linknumber: 8 
Operate status: up Number Of Up Port In TIrunk: 2 
ActorPortName Status PortType PortPri PortNo PortKey Portstate Weight 
Ethernet0/0/1 Selected 100M 32768=5'2 5153 10111100 1 
Ethernet0/0/2 Selected 100M 92788 二 六 5153 10111100 了 
Ethernet0/0/3 Unselect 100M 32768 4 - 463 10110000 1 

多 

Partner: 
ActorPortName er SystemlD PortPri PortNo PortKey PortState 
Ethernet0/0/1 2000 4clf-cccl-374a 1000 2 5153 10111100 
Ethernet0/0/2 2000 4clf-cccl-374a 2000 3 S353 10111100 
Ethernet0/0/3 2000 4clf-cccl-374a 3000 4 5153 10100000 
[SW2] 


从 例 2-25 的 命令 输出 内 容 中 ， 我 们 可 以 看 ! SW2 上 的 抢占 功能 没有 开启 ， 最 大 活 
动 接口 数量 也 保持 默认 值 8。 在 LACP 的 工作 中 ， 管 理 员 只 在 LACP 主动 端 上 修改 相关 参 
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数 也 可 以 实现 相应 的 效果 ， 但 我 们 并 不 推荐 这 种 做 法 。 在 网 络 的 设计 和 实施 中 ， 所 有 设 
备 上 的 配置 要 统一 ， 因 此 管理 员 也 需要 在 SW2 上 执行 相关 配置 ，2. 3. 3 节 中 不 再 演示 ， 
读者 可 以 在 做 实验 的 过 程 中 日 行 补 全 SW2 上 的 相关 配置 。 


2.4 ”本章 总 结 


本 章 我 们 一 共 介 绍 了 3 种 与 网 络 可 靠 性 有 关 的 技术 。 第 一 项 技术 并 非 见 余 技 
术 ， 而 是 一 项 和 够 帮助 网 络 中 其 他 机 制 迅速 发 现 网 络 中 的 通信 午 常 ， 并 作出 相应 处 理 的 
故障 检测 技术 。 在 2. 1 贡 中 ， ae (BFD) 的 技术 进行 了 工作 机 
制 和 报 文 格式 方面 的 介绍 ， 读者 通过 这 一 节 的 学 习 ， 应 该 能 够 理解 BFD 的 工作 原理 ， 同 
时 也 外 E 够 从 数据 封装 的 角度 体会 到 这 种 协议 的 实现 方式 。 本 章 后 面 介绍 的 两 项 技术 都 是 
见 余 技术 ， 其 中 VRRP 技术 的 作用 是 在 局 域 网 中 给 网 关 技 术 提 供 设 备 层面 的 元 余 。 在 2. 2 
节 中 ， 我 们 着 重 介 绍 了 VRRP 的 工作 原理 ， 同 时 演示 了 VRRP 的 配置 方法 。2. 3 市 介绍 了 
一 项 为 网 络 提供 端口 / 链 路 层面 元 余 的 技术 , 也 末 是 链 路 聚合 技术 , 管理 员 可 以 根据 自己 
aa we ec tal sth pe ee 

市 宽 的 提升 。 针对 这 项 使 用 十 分 广泛 的 技术 ， 我 们 在 2. 3 节 中 同样 分 为 概述 、 原 理 和 
a ath nee ie 同时 说 明了 链 路 聚合 技术 的 两 种 模式 手动 模式 和 
LACP 模式 。 四 





2.5 练习 题 


一 、 选 择 题 

下列 有 关 BFD 的 说 法 中 ， 正 确 的 是 ? 《多 选 ) ) 

.BFD 的 全 称 是 双 同 转发 检测 ， 它 能 够 检测 到 直 连 链 路 上 的 错误 

.BFD 在 能 够 开始 检测 链 路 状态 前 ， 需 要 经 历 三 次 握手 来 建 并 会 话 

. BFD 在 能 够 开始 检测 链 路 状态 前 ， 必 须 先 进入 到 UP 状态 

. BFD 可 以 为 动态 路 由 协议 提供 链 路 可 用 性 检测 

. 在 BFD 报 文 的 格式 中 ， 有 关 认 证 字段 的 说 法 正确 的 是 ? 〈 多 选 ) ) 
.认证 类 型 字段 中 标明 了 BFD 所 使 用 的 认证 方式 ， 明 文 密码 认证 为 1，MD5 认证 为 5 
.认证 长 度 字 段 中 标明 了 有 关 认 证 的 总 字段 长 度 

.认证 数据 的 长 度 是 固定 的 

.认证 类 型 、 认 证 长 度 和 认证 数据 这 三 个 字段 都 是 可 选 的 


tO 
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下 列 有 关 VRRP 的 说 法 中 ， 正 确 的 是 ? 《多 选 ) ) 

. VRRP 是 一 种 FHRP 

.一 人 台 路 由 器 上 只 能 配置 一 个 VRRP 虚拟 IP 地 址 

， 一 个 VRRP 组 中 只 能 有 一 个 虚拟 IP 地 址 

. VRRP 对 于 终端 用 户 来 说 是 透明 的 

.下列 有 关 VRRP 组 的 说 法 中 ， 正 确 的 是 ? ( ) 

. VRRP 组 的 虚拟 IP 地 址 必须 为 组 中 某 个 物理 接口 的 IP 地 址 
， 不 同 的 VRRP 组 可 以 使 用 同一 个 虚拟 IP 地 址 ， 只 要 虚拟 MAC 地 址 不 同 就 可 以 
同一 个 物理 接口 可 以 同时 参与 多 个 VRRP 组 

一 个 VRRP 组 中 可 以 有 多 台 主 用 路 由 频 

有 关 链 路 聚合 的 优势 有 哪些 ? (多 选 )( ) 


提高 连接 的 带宽 B， 防 止 链 路 上 出 现 环 路 
， 为 连接 动态 地 提供 备用 链 路 D. 提升 了 连接 的 可 扩展 性 且 降 低 了 成 本 
. 下列 有 关 LACP 的 说 法 中 ， 正 确 的 是 ? (多 选 ) ( ) 
.手动 模式 灵活 性 较 低 
. LACP 根据 系统 优先 级 选择 LACP 主动 新 
，LACP 根据 接口 优先 级 选择 启用 的 接口 


: LACP 抢占 功能 默认 是 局 用 的 ， 并 且 抢 占 延 迟 为 30 秒 
下 列 有 关 LACP 的 配置 ， 说 法 正确 的 是 ? ( ) 
一 个 Eth-Trunk 中 的 物理 接口 编号 必须 连续 
一 个 Eth=Trunk 中 的 所 有 物理 接口 必须 都 为 UP 状态 
一 个 物理 接口 能 够 加 入 多 个 Eth-Trunk 中 
.一 个 Eth-Trunk 中 的 所 有 物理 接口 速率 、 双 工 必须 相同 
、 判 断 题 和 
， 如果 BFD 对 等 体 双方 ， 一 端 配置 了 认证 ， 另 一 庙 没 有 配置 认证 ， 则 BFD 对 等 体 

WE 

2. 在 配置 VRRP 时 ， 最 简单 的 配置 就 是 在 接口 输入 vrrp vrid virtual-router-id 
Virtual-ip virtual as 命令 ， 指 明 接 口 所 属 的 VRRP 组 和 虚拟 IP 地 址 。 

3. Eth-Trunk 的 默认 工作 模式 是 LACP 模式 ， 如 果 需 要 把 当前 为 LACP 工作 模式 的 
Eth-Trunk 接口 更 改 为 手动 配置 的 话 ， 需 要 在 Eth-Trunk 接口 视图 中 使 用 命令 mode 


manual 。 
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在 华为 ICT 学 院 的 《路 由 与 交换 技术 》 中, 我 们 学 习 了 用 来 让 网 络 中 的 各 类 设备 ( 主 _ 
机 、 服 务 器 、 路 由 器 、 交 换 机 等 ) 互联 在 一 起 的 各 类 技术 ， 它 们 的 目的 大 都 是 为 了 让 连 
接 在 网 络 中 的 设备 能 够 完成 相互 之 间 有 效 的 通信 ， 比 如 我 们 在 《路 由 与 交换 技术 》 中 介 
绍 的 路 由 技术 ， 其 目的 就 是 实现 网 际 的 互联 。 当 然 ， 这 里 面 也 有 例外 ， 比如 我 们 在 《路 
由 与 交换 技术 》 第 2 章 中 介绍 的 VLAN 技术 ， 其 目的 就 不 是 促成 设备 之 间 的 互联 ,而 是 实 
现 设备 之 间 在 二 层 的 隔离 。 

本 章 要 介绍 的 这 项 技术 也 提供 了 安全 防护 措施 , 它 能 够 使 管理 员 有 选择 地 对 网 络 
中 的 流量 进行 过 滤 ， 从 而 达到 保护 网 络 资源 的 目的 。 举例 来 说 ,管理 员 可 以 限制 网 络 
设备 对 重要 数据 服务 器 的 访问 ， 来 实现 诸如 只 有 财务 部 门 的 员工 能 够 访问 财务 服务 
器 ， 只 有 人 力 部 门 的 员工 能 够 访问 人 力 数 据 库 等 需求 ， 以 保护 重要 数据 的 安全 和 隐 
私 。 管 理 员 也 可 以 限制 工作 时 间 段 内 的 上 网 流量 ， 比 如 限制 每 天 8:00 至 18:00 之 
间 所 有 主机 都 不 能 访问 Internet， 通过 这 种 方式 限制 员工 对 网 络 资源 的 使 用 行为 。 
我 们 在 本 章 中 要 介绍 的 这 项 技术 称 为 IP 访问 控制 列表 (Access Control List) ， 简 称 
TP ACL. 

在 本 章 中 ， 我 们 会 先 对 IP ACL 的 概念 进行 概述 ， 随 后 详细 介绍 IP ACL 的 工作 原理 ， 
其 中 最 重要 的 内 容 是 IP ACL 识别 数据 包 的 方法 ; 同时 还 会 介绍 IP ACL 的 执行 顺序 和 应 
用 方向 。 在 本 章 的 后 半 部 分 中 ,我 们 会 以 路 由 器 为 例 详细 介绍 华为 设备 上 的 IP ACL 配置 
方法 ， 其 中 包含 基本 IP ACL 和 高 级 IP ACL 的 配置 和 验证 方式 。 
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有 
的 的 - 


学 。 理解 IP ACL 的 工作 原理 : 
习 。 掌握 通配符 掩 码 的 使 用 规则 ; 


3 
3 

) 。 理解 在 设计 和 实施 IP ACL 时 的 顺序 ; 
|: 。 理解 IP ACL 的 应 用 方向 ; 

。 掌握 在 应 用 IP ACL 时 的 方向 选择 ; 
。 掌握 基本 IP ACL 的 创建 和 应 用 ; 

e 掌握 高 级 IP ACL 的 创建 和 应 用 。 


3;1 IPACL 概 述 ” 


ACL 的 全 称 是 访问 控制 列表 (Access Control List) ， 顾 名 思 义 ， 它 的 作用 就 是 天 
网 络 流量 的 访问 行为 进行 控制 ， 它 是 管理 员 管理 、 监 控 网 络 流量 的 得 力 工具 。 在 网 络 中 ， 
ACL 常常 会 与 服务 质量 (Quality of Service，QoS) 和 路 由 策略 等 技术 结合 起 来 使 用 ， 
为 某 项 后 续 的 操作 定义 流量 的 匹配 标准 。 在 华为 设备 上 ，IP ACL 分 为 基本 IP ACL 和 高 
级 IP ACL， 它 们 在 匹配 标准 上 有 所 区 别 。 基 本 IP ACL 只 能 基于 源 IP 地 址 进行 匹配 ， 而 
高 级 IP ACL 能 够 基于 多 种 参数 进行 匹配 ， 这 些 参数 包括 三 层 信 息 ， 比 如 源 和 目的 IP 地 
址 ， 以 及 四 层 信息 ， 比 如 TCP/UDP 的 源 和 目的 端口 号 。 

当然 ， 根 据 标 准 来 匹配 数据 包 并 不 是 目的 ，ACL 的 目的 是 根据 匹配 结果 来 决定 不 同 
的 操作 方式 。 因 此 ， 无 论 通 过 哪些 参数 对 数据 包 进 行 丐 配 ，ACL 在 匹配 后 还 会 对 匹配 数 
据 包 执行 相应 的 操作 。 在 这 里 ， 我 们 所 说 的 操作 就 是 放行 或 拒绝 。 在 日 常生 活 中 一 提 到 
放行 或 拒绝 ， 大 多 数 人 能 够 想到 的 多 是 出 入 管理 系统 ， 比 如 公寓 楼 /小 区 、 校 园 或 企业 办 
公 区 等 。 这些 地 方 的 门卫 /门禁 系统 可 以 通过 访客 是 否 持 有 门禁 卡 、 学 生 证 或 工作 证 , 来 
执行 “访问 控制 ”。 访 问 控制 的 “匹配 规则 ”是 卡 ， 操 作 是 有 卡 放行 、 无 卡 拒绝 。 

接 下 来 ， 第 3 章 将 会 从 IP ACL 的 工作 原理 开始 ， 逐 步 介绍 使 用 IP ACL 进行 匹配 时 
的 其 体 匹 配方 法 ， 以 及 网 络 设备 在 执行 ACL 时 的 工作 流程 。 


”注入 

第 3 章 内 容 只 涉及 IJP ACL 的 介绍 ，IP ACL 同时 支持 对 IPv4 和 IPv6 流量 进行 过 滤 
控制 ， 它 们 的 原理 都 是 相同 的 ， 在 配置 上 有 些许 不 同 ， 第 3 章 只 会 介绍 与 IPv4 ACL 相 
关 的 配置 信息 。 除 了 IP ACL 之 外 ， 华 为 设备 还 支持 二 层 ACL 和 用 户 自 定义 ACL, 这 些 
内 容 超 出 了 本 书 范畴 ， 因 此 在 这 里 不 做 介绍 。 对 此 感 兴趣 的 读者 可 以 在 华为 官网 上 查看 
与 之 相关 的 描述 和 配置 信息 。 
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注 洗 : 

ACL 在 配置 后 并 不 能 马上 生效 ,只 有 管理 员 在 相应 的 业务 模块 中 应 用 配置 好 的 ACL 
后 ，ACL 才 会 发 挥 它 的 作用 。 能 够 应 用 ACL 的 业务 模块 包括 流 策略 /简化 流 策略 、 黑 名 
单 、Telnet、SNMP、FTP、HTTP 、 设 备 支持 的 路 由 协议 等 。 第 3 章 只 介绍 如 何在 简化 
流 策略 中 应 用 ACL， 目 的 是 利用 ACL 来 对 设备 转发 的 流量 进行 过 滤 。 


3:2 ”IP ACL 工作 原理 


ACL 是 一 个 由 多 条 匹配 规则 和 行为 构成 的 过 滤 列 表 ， 每 个 ACL 中 都 可 以 包含 多 个 罗 
配 规则 ， 每 个 匹配 规则 必须 关联 一 个 行为 〈 人 允许 或 拒绝 ) 。 当 与 数据 包 相 匹配 的 规则 中 
指定 了 拒绝 行为 ， 设 备 就 会 丢弃 这 个 数据 包 ; 当 与 数据 包 相 匹配 的 规则 中 指定 了 允许 行 
请 具体 的 处 理 行为 与 其 他 因素 相关 ， 我 们 会 在 32 3 

节 (入 向 IP ACL) 和 3.2.4 节 (出 向 下 ACL) 中 进行 详细 介绍 。 

图 3-1 展示 了 ACL 的 工作 示意 ， 匹 配 “ 人 允许 ”行为 的 数据 包 会 继续 接受 下 一 步 处 理 ， 
而 匹配 “拒绝 ”行为 的 数据 包 则 会 被 直接 丢弃 。 


ne [a] 


rm | mci [A ] > 


图 3-1 ACL 的 工作 示意 记 


下 一 步 处 理 行为 





下 面 ， 我 们 结合 图 3-1 所 且 的 示意 ， 分 别 解 释 一 下 数据 包 匹 配 ACL“ 人 允许 ”和 “ 拒 
绝 ” 行 为 时 ， 设 备 执行 的 操作 。 
e 数据 包 与 ACL 中 的 “允许 ”行为 相 匹配 时 的 操作 如 下 。 如 图 3-2 所 示 ， 一 个 来 
自 网 络 C 的 数据 包 需 要 接受 这 个 ACL 的 过 滤 。 它 与 “匹配 规则 1” 不 相 匹配 ， 
因此 下 移 至 下 一 条 匹配 规则 ; 它 与 “匹配 规划 2” 也 不 相 匹配 ， 因 此 下 移 全 再 
一 条 匹配 规则 ; 它 与 “匹配 规则 3” 相 匹配 ， 并 接受 允许 行为 ， 也 就 是 继续 
进行 下 一 步 处 理 。 
e。 数据 包 与 ACL 中 的 “拒绝 ”行为 相 匹 配 时 的 操作 如 下 。 如 图 3-3 所 示 ， 一 个 来 
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自 子 网 B 的 数据 包 需 要 接受 这 个 ACL 的 过 滤 。 它 与 “匹配 规则 1” 不 相 匹 配 ， 
因此 下 移 至 下 一 条 匹配 规则 ; 它 与 “匹配 规则 2” 相 匹配 ， 并 接受 拒绝 行为 ， 
也 就 是 被 设备 丢弃 。 


00 (来 自 网 络 c 的 数据 包 ) 


ee 匹配 ， a 比 下 一 个 规则 


ET ET 来 自 子 网 来 自 子 网 的 数据 包 | 的 数据 包 ee 


站 不 匹配 ， 继 和 对 比 下 一 个 规则 下 一 步 处 理 行为 


we [nr | [| 
Er Er 


图 3-2 ACL 的 工作 示 寻 允许 行为 





0 (Gk 自 子 网 B 的 数据 包 ) 


不 匹配 ， 继 续 对 比 下 一 个 规则 


配 ! | 匹配 规则 2 || 来 自 子 网 B 的 数据 包 
让 亲 所 


图 3-3 ”ACL 的 工作 示意 一 一 拒绝 行为 


过 这 一 部 分 展示 的 三 个 示意 ， 读 者 应 该 对 ACL 的 工作 方式 有 了 一 个 大 致 的 了 解 。 
Pe 我 们 会 分 别 详细 介绍 ACL 中 的 每 一 个 组 成 部 分 。 首 先 ， 我 们 会 在 3. 2. 1 节 中 介 
绍 使 用 IP ACL 进行 数据 包 匹 配 时 , 最 重要 的 一 种 匹配 方法 一 一 使 用 通配符 撼 码 来 限定 需 
要 匹配 的 源 和 /或 目的 地 址 。 


3.2.1 通配符 掩 码 


下 一 步 处 理 行为 





在 3.1 (IP ACL 概述 ) 节 中 ， 我 们 提 到 过 IP ACL 分 为 两 类 一 一 基本 IP ACL 和 高 级 
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IP ACL， 其 中 基本 IP ACL 只 能 根据 数据 包头 部 携带 的 源 IP 地 址 字段 进行 匹配 ， 而 高 级 
IP ACL 则 可 以 匹配 包含 源 IP 地 址 在 内 的 多 个 字段 。 这 也 就 是 说 ， 根 据 IP 地 址 进行 匹配 
是 最 基本 的 匹配 方式 ， 因 此 在 3. 2. 1 节 中 ， 我 们 先 抛 开 ACL 中 与 行为 相关 的 内 容 ， 着 重 
关注 在 对 IP 地 址 进行 匹配 时 ， 所 使 用 的 一 项 重要 参数 一 一 通配符 掩 码 。 

要 想 知道 通配符 掩 码 如 何 能 够 限定 IP 地 址 的 范围 ， 先 要 知道 什么 是 通配符 掩 码 。 
通配符 掩 码 听 起 来 似乎 比较 星 涩 难 懂 , 但 如 果 称 之 为 “ 反 掩 码 ” 或 许 听 起 来 就 简单 很 多 。 
在 本 系列 教材 《网 络 基础 》 第 6 章 6. 1. 3 网 络 掩 码 ) 节 中 ， 我 们 曾经 详细 介绍 了 “ 掩 
码 ” 的 作用 和 工作 原理 。 在 3. 2. 1 节 中 ， 我 们 会 先 从 形态 上 对 比 掩 码 和 反 掩 码 ， 然 后 再 
对 它们 的 作用 进行 区 分 。 图 3-4 展示 了 一 个 连续 的 IP 地 址 范围 ， 以 及 与 这 个 IP 地 址 范 
围 相对 应 的 掩 码 和 反 掩 码 。 





IP 地 址 范围 192.168.8.0 ~ 192.168.8.255 


掩 码 【十进制 ) 255.255.255.0 


通配符 掩 码 〈 十 进 制 ) 0.0.0.255 


掩 码 〈( 二 进 制 ) ll111111 11111111 1111111] O00ODO 


通配符 掩 码 〈 二 进 制 ) 


00000000 00000000 00000000 11111111 


图 3-4 与 一 个 IP 地址 范围 相对 应 的 掩 码 和 反 掩 码 


如 图 3-4 所 示 ， 通 配 符 掩 码 也 和 抢 码 一 样 有 两 种 常用 的 表现 形式 ， 十进制 (点 分 十 
进 制 ) 和 二 进 制 。 从 二 进 制 形 式 看 来 ， 掩 码 和 通配符 掩 码 在 描述 同一 个 连续 的 地 址 范围 
时 ，1 和 0 的 取 值 是 相反 的 ， 即 在 掩 码 的 匹配 规则 中 ，1 表示 必须 匹配 , 0 表示 无 需 匹 配 ; 
而 在 通配符 掩 码 的 匹配 规则 中 ，1 表示 无 需 匹配 ， 而 表示 必须 匹配 。 

因此 ， 在 通配符 掩 码 中 ，0 和 1 的 匹配 规则 分 别 姐 下 所 述 。 

。 二进制 0， 必 须 与 IP 地 址 中 的 对 应 位 取 值 相 紫 配 ; 

。 二进制 1: 无需 与 IP 地 址 中 的 对 应 位 取 值 相 匹配 ， 因 此 可 以 称 之 为 不 关心 位 。 

虽然 通配符 掩 码 和 拱 码 都 称 为 掩 码 ， 但 它们 的 作用 却 是 不 尽 相 同 的 。IP 地 址 / 掩 码 
的 组 合 描述 了 一 个 IP 地 址 所 属 的 网 络 范围 ,更 重要 的 是 ， 通 过 这 个 组 合 ， 我 们 可 以 推断 
出 这 个 IP 地 址 的 网 络 地 址 、 主 机 地 址 范围 和 广播 地 址 。 但 IP 地 址 /通配符 掩 码 的 组 合 只 
是 以 一 种 简便 的 方式 , 一 次 性 描述 了 多 个 IP 地 址 。 这 种 组 合 能 够 减少 管理 员 在 配置 华为 
设备 时 输入 的 命令 条 数 ， 让 管理 员 可 以 在 一 条 命令 中 限定 多 个 IP 地 址 ， 而 无 需 为 每 个 
IP 地 址 单独 输入 一 条 命令 。 因 此 通配符 掩 码 并 不 具备 子 网 划分 的 概念 ， 它 只 是 用 来 描述 
多 个 IP 地 址 的 组 合 。 
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表 3-1 中 总 结 了 通配符 掩 码 与 网 络 掩 码 的 区 刘 。 
表 3-1 | 


a 1 表示 必须 匹配 
出 
匹配 规则 1 表示 无 需 匹配 0 表示 无 需 匹 配 


限定 网 络 位 的 长 
描述 一 个 或 多 个 IP 地 址 ”| 描述 网 络 地 址 、 主 机 地 址 范围 和 广播 地 址 

以 下 为 儿 个 简单 的 通配符 掩 码 示例 。 

。 ”192. 168. 8. 10 0. 0. 0. 0 一 一 只 匹配 一 个 卫 地 薄 (主机 地 址 ) 192. 168. 8. 10。 在 
华为 设备 的 配置 中 ， 我 们 可 以 把 表示 一 个 IP 地 址 〈 主 机 地 址 ) 的 通配符 掩 码 
0.0. 0.0 简写 为 0， 以 此 简化 管理 员 需 要 输入 的 内 容 。 

。 ”192. 168. 8. 10 0.0.0.255 一 一 匹配 一 个 连续 的 IP 地 址 范围 192. 168. 8. 0 一 
192. 168. 8. 255。 如 果 在 华为 设备 的 配置 中 使 用 这 个 组 合 来 匹配 一 个 连续 的 IP 
地 址 范围 ， 在 管理 员 输 入 配置 命令 后 ， 华 为 设备 会 在 把 这 条 命令 写 入 配置 文件 
的 同时 ， 自 动 把 前 面 的 IP 地 址 改写 的 这 个 范围 中 的 第 一 个 IP 地 址 ， 也 就 是 管 

理 员 会 在 配置 文件 中 看 到 192. 168. 8. 0 0. 0. 0. 255。 

。 192. 168. 8. 10 0. 0.7. 255 一 一 匹配 一 个 连续 的 IP 地 址 范围 192. 168. 8. 0 一 

”192. 168. 15. 255。 

3 19%. 168. 8. 10 0.0.15.255 一 一 匹配 一 个 连续 的 IP 地 址 范围 192. 168. 0.0~ 
192. 168. 15. 255。 

e。 192. 168. 8. 10 255. 255.255.255 一 一 匹配 所 有 IP 地 址 。 在 使 用 通配符 掩 码 
255. 255. 255. 255 来 匹配 所 有 IP 地 址 时 , 前面 的 IP 地 址 是 什么 其 实 都 无 所 谓 ， 
因此 我 们 通常 以 0. 0. 0. 0 255. 255. 255. 255 来 表示 匹配 所 有 IP 地 址 。 当 然 ， 在 
华为 设备 的 配置 中 , 我 们 可 以 使 用 关键 字 any 来 表示 匹配 任意 (所 有 ) IP 地 址 ， 
这 个 关键 字 简 化 了 管理 员 需 要 输入 的 内 容 。 

上 述 通 配 符 掩 码 的 应 用 案例 是 在 配置 网 络 设备 时 ， 管 理 员 必须 熟练 掌握 的 通配符 掩 
码 使 用 方法 。 抛 开 网 络 设备 上 的 实际 应 用 ， 为 了 让 读者 更 深入 地 理解 通配符 掩 码 的 匹配 
规则 ， 接 下 来 通过 表 3-2 展示 几 个 较 复 杂 的 案例 。 表 中 使 用 的 IP 地 址 统一 为 
10. 10. 10. 10。 










表 3-2 通配符 掩 码 的 匹配 示例 (JP 地 址 为 10.10.10.10 ) 
通配符 接 码 
2 个 连续 的 IP 地 址 ，10. 10. 10. 10 和 10. 10. 10. 11 






0: 0 2 个 IP 地 址 : 10. 10. 10.8 和 10. 10. 10. 10 
0. 0 0. 3 4 个 连续 的 IP 地 址 : 10. 10. 10. 8 一 10. 10. 10. 11 
0. 0. 0.4 2 个 IP 地 址 : 10. 10. 10. 10 和 10. 10. 10. 14 
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( 续 表 ) 
4 个 IP 地 址 : 10. 10. 10. 10、10. 10. 10. 11、10. 10. 10. 14 和 10. 10. 10. 15 
4 个 IP 地 址 : 10. 10. 10.8、10. 10. 10. 10、10. 10. 10. 12 和 10. 10. 10. 14 
8 个 连续 的 IP 地 址 : 10. 10. 10. 8 一 10. 10. 10. 15 
16 个 连续 的 IP 地 址 : 10. 10. 10. 0 一 10. 10. 10. 15 


0. 0. 0. 63 64 个 连续 的 IP 地 址 : 10. 10. 10. 0 一 10. 10. 10. 63 
0. 0.0. 127 128 个 连续 的 IP 地 址 : 10. 10. 10. 0 一 10. 10. 10. 127 
0. 0. 0. 255 256 个 连续 的 IP 地 址 : 10. 10. 10. 0 一 10. 10. 10. 255 


从 表 3-2 给 出 的 示例 中 ， 我 们 会 发 现 一 个 规律 ， 如 果 要 想 匹 配 多 个 连续 的 IP 地 址 ， 
通配符 掩 码 〈 十 进 制 ) 非 0 位 的 取 值 必须 是 1、3、7、15、31、63、127、255。 让 我 们 
把 这 些 数 字 转 换 成 二 进 制 ， 规 则 就 一 目 了 然 了 ， 详 见 表 3-3。 


表 3-3 把 1、3、7、15、31、63、127 和 255 转换 为 二 进 制 
3 
55 


0Q.0.0.31 32 个 连续 的 IP 地 址 : 10. 10. 10. 0 一 10. 10. 10. 31 


















0111L1111 


通过 二 进 制 的 展示 我 们 可 以 看 出 ， 要 想 描 述 一 个 连续 的 IP 地 址 范围 ， 需 要 二 进 得 
通配符 掩 码 中 的 1 从 右 侧 起 就 是 连续 的 ， 不 能 在 任意 两 个 1 之 间 出 现 0。 实 际 上 ， 在 描 
述 一 个 连续 的 IP 地 址 范围 时 ,通配符 掩 码 正好 是 网 络 掩 码 的 “ 反 向 ”表达 ， 也 就 是 把 网 
络 掩 码 中 的 1 替换 为 0， 再 把 网 络 掩 码 中 的 0 替换 为 1， 就 形成 了 通配符 掩 码 。 

网 络 掩 码 由 于 它 的 作用 是 限定 IP 网 络 位 的 个 数 ， 因 此 用 来 描述 网 络 位 的 多 个 1 必须 是 
连续 的 , 用 来 描述 主机 位 的 多 个 0 也 必须 是 连续 的 , 从 而 网 络 掩 码 不 能 也 无 法 描述 非 连 续 的 
IP 地 址 。 通配符 掩 码 的 作用 只 是 撕 玉 多 个 IP 地 址 ， 因 此 并 没有 “前 半 部 分 必须 是 连续 的 0， 
后 半 部 分 必须 是 连续 的 1” 这 种 限制 。 如 果 使 用 这 种 限制 来 指定 通配符 掩 码 ， 那 么 这 个 通 配 
符 掩 码 所 匹配 的 IP 地 址 一 定 是 多 个 连续 的 IP 地 址 。 下 面 我 们 看 表 3-4 中 给 出 的 儿 个 案例 。 

表 3-4 通配符 掩 码 的 匹配 示例 
IP 地 址 通配符 掩 码 rh 匹配 结果 


172. 16. 32.0 0.0,3.255 172. 16, 32. 0-=172; 16. 35. 255 
172. 16. 32.0 0.0.7.255 172. 16. 32. 0~ 172. 16. 39. 255 
1172. 106..32.0 0. 09. 15,.255 172. 16. 32. 0 一 172. 16. 47. 255 
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在 表 3-4 所 示 的 案例 中 ， 我 们 把 0、1 之 间 的 分 界线 移 到 了 通配符 掩 码 的 第 3 个 八 位 
组 中 ， 这 样 匹 配 的 IP 地 址 数量 就 增多 了 。 也 就 是 说 ，0 和 1 之 间 的 分 界线 越 往 左 侧 移动 ， 
匹配 的 IP 地 址 数量 就 越 多 。 当 然 ， 就 像 前 文中 提 到 的 ， 在 描述 连续 范围 内 的 IP 地 址 时 ， 
二 进 制 格式 的 通配符 扒 人 码 要 满足 “前 半 部 分 必须 是 连续 的 0， 后 半 部 分 必须 是 连续 的 1”。 
在 理解 了 这 一 点 之 后 ,读者 在 为 指定 的 IP 地 址 范围 找 出 适合 的 通配符 掩 码 时 就 会 很 容易 。 
表 3-5 总 结 了 摘 述 连续 IP 地 址 范围 所 使 用 的 网 络 掩 码 和 通配符 掩 码 ， 以 供 读 者 参考 。 

表 3-5 描述 连续 IP 地 址 范围 的 网 络 掩 码 和 通配符 掩 码 

六 长度 
/2 | 255255255%5 | 0000 | 






















£2 | 

/ 

: 
ji0 
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通配符 掩 码 仅仅 是 IP ACL 中 的 一 个 参数 ， 在 掌握 了 如 何 使 用 通配符 掩 码 来 限定 IP 
地 址 的 范围 后 ， 我 们 会 在 3. 2. 2 市 中 把 视野 扩大 到 整个 IP ACL， 关 注 在 拥有 多 条 匹配 规 
则 的 IP ACL 中 ， 这 些 匹 配 规则 的 应 用 顺序 。 


3.2.2 1IP ACL 中 的 匹配 顺序 


从 图 3-2 和 图 3-3 所 示 的 ACL 示意 我 们 可 以 看 出 ， 在 有 多 条 匹配 规则 的 ACL 中 , 数 
据 包 是 按 顺 序 从 上 到 下 与 多 个 规则 一 一 进行 匹配 的 。 实际 上 , 在 华为 设备 的 ACL 配置 中 ， 
ACL 中 的 每 个 条 目 〈 匹 配 规 则 〉 部 有 一 个 相应 的 编号 ， 在 使 用 这 个 ACL 对 数据 包 进 行 匹 
配 时 ， 设 备 会 按照 编号 从 小 到 大 的 顺序 来 对 数据 包 进 行 匹 配 。 


注 焙 : 

在 华为 设备 的 ACL 配置 中 ，ACL 中 每 个 条 目的 编号 称 为 规则 编号 (rule-id) 。 如 
果 在 配置 每 个 条 目 时 管理 员 没 有 指定 具体 的 编号 数值 ， 设 备 会 按照 默认 步 长 来 自动 为 这 
个 条 目 分 配 编号 。 步 长 是 编号 的 递增 规则 ， 华 为 设备 默认 的 ACL 步 长 为 5; 也 就 是 默认 
每 个 ACL 中 的 第 1 个 条 目 编号 为 5， 第 2 个 条 目 编号 为 10， 第 3 个 条 目 编号 为 15， 以 
此 类 推 。 管 理 员 可 以 自 定义 步 长 参数 ， 具 体 做 法 会 在 本 章 配 置 部 分 进行 详细 说 明 。 


在 有 关 ACL 匹配 顺序 的 主题 中 ， 难 点 并 不 在 于 设 役 备 如 何 使 用 ACL 中 的 每 个 条 目 ， 而 
在 于 管理 员 如 何 依照 设备 的 匹配 规则 ， 来 设计 ACL 中 的 条 目 及 其 顺序 。 在 设 及 计 .ACL 中 的 
条 目 及 其 顺序 时 ， 管 理 员 要 考虑 到 以 下 几 点 。 

。 设备 会 按照 从 上 到 下 《〈 即 编号 从 小 到 大 ) 的 顺序 来 依次 匹配 数据 包 ; 

e 一 且 数 据 包 与 当前 规则 匹配 成 功 ， 设备 就 会 按照 当前 规则 中 指定 的 行为 来 处 理 

数据 包 ， 同 时 ACL 匹配 行为 也 到 此 结束 ， 设 备 不 会 继续 在 ACL 中 碍 找 其 他 匹配 
条 目 。 

总 的 来 说 ， 管 理 员 在 设计 一 个 ACL 中 的 语句 顺序 时 ， 要 做 到 精确 匹配 在 前 、 模 糊 匹 
配 在 后 。 以 下 面 这 两 个 IP 地 址 范围 为 例 。 

e。 10.10.10.0 0. 0. 0. 255; 

。 10.10.0.0 0.0. 255. 255。 

单 从 通配符 掩 码 可 以 看 出 ， 这 两 个 网 络 的 范围 是 有 大 小 之 分 的 ， 第 1 个 IP 地 址 范 
围 小 , 第 2 个 范围 大 。 结合 前 面 指定 的 IP 地 址 可 以 发 现 , 第 1 个 网 络 包含 在 第 2 个 网 络 
范围 内 ， 是 第 2 个 网 络 中 的 一 个 子 集 。 因 此 如 果 要 在 ACL 中 为 这 两 个 网 络 范围 分 别 设置 
不 同 的 行为 ， 管 理 员 就 需要 为 范围 小 的 网 络 使 用 较 小 的 规则 编号 ， 为 范围 大 的 网 络 使 用 
较 大 的 规则 编号 ， 使 它们 在 ACL 中 的 顺序 如 上 面 的 列表 所 示 。 比 如 ， 将 规则 编号 10 的 语 
名 设置 为 放行 源 IP 地 址 匹配 10. 10. 10.0 0. 0.0. 255 的 数据 包 ， 将 规则 编号 20 的 语句 
设置 为 拒绝 源 IP 地 址 匹配 10. 10. 0.0 0. 0. 255. 255 的 数据 包 。 只 有 按照 这 种 顺序 进行 


吕 
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设置 , 源 IP 地 址 属于 10. 10. 10. 0/24 网 络 的 数据 包 才 会 被 设备 放行 。 这 是 因为 一 旦 数据 
包 在 ACL 中 遇 到 了 一 个 匹配 条 目 ， 设 备 就 会 按照 这 个 条 目 中 指定 的 行为 来 处 理 数据 包 ， 
并 不 会 继续 查找 其 他 的 匹配 规则 。 
相信 到 这 里 读者 应 该 明白 了 该 如 何 排列 ACL 中 的 多 个 匹配 语句 ， 接 下 来 我 们 来 明确 
描述 一 下 何谓 “匹配 ”。 
e。 如 果 ACL 中 没有 定义 任何 规则 ， 则 ACL 匹配 结果 为 : 未 命中 。 
。 如果 ACL 中 定义 了 规则 ， 则 设备 按照 规则 编号 逐个 查找 匹配 规则 。 
@ 如果 数据 包 与 允许 语句 相 匹 配 ， 则 ACL 匹配 结果 为 : 匹配 (允许) 
@ 如果 数据 包 与 拒绝 语句 相 匹 配 ， 则 ACL 匹配 结果 为 : 匹配 (拒绝 ); 
mn ”如果 数据 包 与 管理 员 明 确 配置 的 语句 都 不 匹配 ， 则 ACL 匹配 结果 为 : 未 
命中 。 
在 上 述 匹 配 过 程 中 ， 我 们 可 以 看 出 数据 包 会 有 两 种 匹配 结果 : 匹配 或 未 命中 。 当 数 
据 包 匹配 一 条 语句 时 ， 设 备 会 按照 这 条 语句 中 指定 的 行为 来 处 理 数 据 包 : 允许 行为 用 来 
放行 数据 包 ， 拒绝 行为 用 来 丢弃 数据 包 。 当 数据 包 的 匹配 结果 为 未 命中 时 , 流 控制 /简化 
流 控 制 模 块 对 于 数据 包 的 处 理 行为 是 放行 。 


注 料 : 

当 ACL 的 匹配 结果 为 未 命中 时 ， 所 关联 的 行为 (允许 还 是 拒绝 ) 与 应 用 ACL 的 业 
务 模块 相关 。 永 章 只 讨论 在 流 控制 /简化 流 控制 模块 中 应 用 ACL 的 场景 。 在 其 他 业务 模 
块 上 应 用 ACL 时 ，ACE 的 默认 行为 ， 以 及 在 匹配 ACL 语句 时 的 处 理 机 制 ， 需 要 管理 员 
在 华为 官网 查阅 相关 的 产品 文档 。 


3.2.3 人 入 向 IP ACL 


前 文中 我 们 曾经 提 到 过 ， 在 管理 员 配置 好 ACL 后 ， 这 个 ACL 虽然 已 经 存在 于 设备 的 
配置 文件 中 ， 但 它 还 没有 生效 ， 需 要 管理 员 在 特定 位 置 进 行 应 用 才能 生效 。 管 理 员 可 以 
在 多 个 地 方 应 用 ACL， 比 如 在 使 用 流 控制 /简化 流 控 制 来 对 设备 转发 的 数据 包 进 行 过 滤 
时 ,就 可 以 在 全 局 、 某 个 接口 或 某 个 VLAN 中 应 用 ACL; 在 实现 登录 控制 时 ， 管 理 员 也 可 
以 在 相应 的 业务 模块 上 应 用 ACL。 

在 3. 2. 3 节 中 , 我 们 会 从 最 基本 的 ACL 应 用 方法 入 手 来 解释 设备 在 使 用 ACL 时 最 基本 
的 工作 原理 。 因 此 ， 我 们 在 这 里 只 考虑 一 种 情景 ， 即 在 路 由 器 的 物理 接口 上 使 用 ACL 过 滤 
流量 的 情形 。 此 时 ， 我 们 需要 在 路 由 器 接口 上 应 用 ACL， 并 且 指 明 针 对 哪个 方向 的 流量 应 
用 ACL。 要 想 对 路 由 器 接收 到 的 数据 包 执 行 过 滤 ， 管 理 员 就 要 在 入 站 方向 上 应 用 ACL， 也 
称 为 入 同 ACL; 要 想 对 路 由 如 转 友 出 去 的 数据 包 执 行 过 滤 ， 管 理 员 就 要 在 出 站 方向 上 应 用 
ACL， 也 称 为 出 癌 ACL。 图 3-5 展示 了 能 够 在 路 由 器 上 应 用 ACL 的 位 置 ， 以 及 ACL 的 方向 。 
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入 向 ACL 出 向 ACL 







路 由 | 二 一 > 上 出 站 的 数据 包 
转发 
进程 
区 入 站 数据 包 
出 向 ACL 入 向 ACL 


图 3-5 IP ACL 的 应 用 位 置 和 方向 


结合 图 3-5 所 示 的 两 个 路 由 器 接口 可 以 看 出 ， 对 于 路 由 器 转发 的 数据 包 来 说 ， 路 
由 器 会 从 一 个 接口 上 收 到 这 个 数据 包 ， 并 把 这 个 数据 包 从 另 一 个 接口 转发 出 去 。 因 此 
这 个 数据 包 可 能 会 经 由 两 个 ACL 进行 过 滤 : 在 入 站 接口 上 通过 入 向 ACL 进行 过 滤 ， 在 
出 站 接口 上 再 通过 出 站 ACL 进行 过 滤 。 路 由 器 的 每 个 接口 都 可 以 接收 数据 包 ， 也 都 可 
以 发 送 数 据 包 ， 因 此 路 由 器 的 每 个 接口 上 也 可 以 同时 应 用 一 个 入 同 IP ACL 和 一 个 出 
向 IP ACL。 在 3.2.3 节 中 ， 我 们 会 着 重 介 绍 入 向 IP ACL，3. 2. 4 节 则 会 重点 介绍 出 向 
IP ACL。 | 


应 用 在 接口 的 IP ACL 只 能 过 滤 路 由 器 转发 的 数据 包 ， 而 无 法 过 滤 路 由 器 始 发 的 数 
据 包 。 举 例 来 说 ， 如 果 管 理 员 在 路 由 器 接口 上 应 用 了 一 个 丢弃 所 有 数据 包 的 出 向 ACL， 
路 由 器 仍 可 以 从 这 个 接口 发 送 ping 消 息 、 路 由 通告 等 数据 包 ， 因 为 这 些 数 据 包 是 由 路 由 
器 生成 的 ， 这 类 路 由 器 始 发 的 数据 包 不 会 受到 接口 出 向 ACL 的 控制 。 


数据 包 在 进入 路 由 器 接口 时 ， 会 受到 入 站 接口 上 应 用 的 入 向 IP ACL 的 过 滤 ， 并 且 
会 产生 以 下 两 种 结果 。 
。 路 由 器 把 数据 包 转 交 给 路 由 转发 进程 进行 处 理 ; 当 接口 上 没有 应 用 ACL 时 ， 当 
接口 上 应 用 了 ACL 且 煞 据 包 匹 配 ACL 中 的 允许 语句 时 ,或 者 当 接 口上 应 用 了 ACL 
且 数 据 包 与 ACL 不 匹配 时 ， 路 由 器 就 会 允许 数据 包 通 过 ， 并 将 其 转交 给 路 由 转 
发 进程 。 
。 ”路 由 器 丢弃 数据 包 : 当 接 口上 应 用 了 ACL 且 数 据 包 匹配 ACL 中 的 拒绝 语句 时 ， 
路 由 器 就 会 拒绝 数据 包 通 过 ， 并 丢弃 这 个 数据 包 。 
图 3-6 展示 了 3. 2. 3 节 所 讨论 的 入 向 IP ACL 的 应 用 位 置 和 方向 。 
路 由 器 在 接收 到 一 个 数据 包 后 ， 基 于 接口 入 向 ACL 进行 匹配 ， 根 据 匹 配 结 果 执 行 相 
应 的 行为 ， 其 整个 过 程 如 图 3-7 所 示 。 
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入 站 接口 
加 0 GG0 A | rem | 六 | —S | #2 
入 站 数据 包 
和 
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是 否 应 用 了 
入 向 ACL? 


从 接口 接收 到 数据 包 






匹配 (拒绝 ) 


匹配 (拒绝 ) 匹配 (人 允许 ) 
时 第 2 条 规则 


所 有 规则 都 不 匹配 


丢弃 数据 包 匹配 (多 许 ) 


图 3-7 入 站 数据 包 过 滤 流 程 





图 3-7 所 示 的 流程 中 只 展示 了 两 条 匹配 规则 ( 即 第 1 条 规则 和 第 2 条 规则 ) 。 然 而 ， 
一 个 IP ACL 中 可 以 包含 多 条 规则 ， 数 据 包 必 须 与 管理 员 配 置 的 所 有 规则 都 不 匹配 时 ， 才 
会 被 判定 为 未 命中 ， 因 此 在 第 2 条 规则 和 未 命中 结果 之 间 ， 我 们 使 用 的 线 型 为 虚线 。 


3.2.4 出 向 IP ACL 


当 路 由 器 通过 得 询 IP 路 由 表 找到 了 转发 数据 包 所 使 用 的 出 站 接口 后 ， 数 据 包 束 会 
受到 出 站 接口 应 用 的 出 加 IP ACL 的 过 滤 ， 并 且 会 产生 以 下 两 种 绪 采 。 
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。 路 由 器 把 数据 包 转 发 出 去 : 当 接 口上 没有 应 用 ACL 时 ， 当 接口 上 应 用 了 ACL 且 
数据 包 史 配 ACL 中 的 允许 语 名 时， 或 者 当 接口 上 应 用 了 ACL 且 数 据 包 与 ACL 不 
匹配 时 ， 路 由 器 就 会 允许 数据 包 通 过 ， 并 将 其 从 这 个 接口 转发 出 去 。 

。 路 由 器 丢弃 数据 包 : 当 接 口上 应 用 了 ACL 且 数 据 包 匹 配 ACL 中 的 拒绝 语句 时 ， 
路 由 器 就 会 拒绝 数据 包 通 过 ， 并 丢弃 这 个 数据 包 。 

图 3-8 展示 了 3.2.4 节 所 讨论 的 出 向 IP ACL 的 应 用 位 置 和 方向 。 


接口 出 向 ACL 





图 3-8 ”出 同 IP ACL 示意 


路 由 器 在 对 一 个 数据 包 作出 路 由 转发 决策 后 ， 会 基于 出 站 接口 上 应 用 的 出 向 ACL 执 
行 过 滤 ， 根 据 匹配 结果 执行 相应 的 行为 ， 整 个 过 程 如 图 3-9 所 示 。 


是 否 应 用 了 他 把 数据 包 从 






匹配 “拒绝 ) 





匹配 《人 允许 ) 





第 2 条 规则 
不 匹配 
| 
| 


所 有 规则 都 不 匹配 


程 


图 3-9 ”出 站 数据 包 过 滤 流 
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图 3-9 所 示 的 流程 图 也 和 图 3-8 一 样 只 展示 了 两 条 匹配 规则 ， 但 一 个 IP ACL 中 可 
以 包含 多 条 规则 ， 只 有 当 数 据 包 与 管理 员 配 置 的 所 有 规则 都 不 匹配 时 ， 才 会 被 判定 为 未 
命中 。 

到 此 为 止 ， 我 们 已 经 介绍 了 所 有 与 IP ACL 相关 的 基础 知识 。 接 下 来 ， 我 们 会 介绍 
如 何在 华为 路 由 器 上 配置 IP ACL。 在 3. 3 中 ， 我 们 会 先 从 基本 IP ACL 的 配置 命令 入 
手 ， 继 而 对 高 级 IP ACL 中 能 够 指定 的 匹配 参数 进行 说 明 。 


: 弄 
3.3 基本 IPACL 
在 使 用 基本 IP ACL 进行 流量 过 滤 时 ， 管 理 员 只 能 在 匹配 规则 中 设置 以 下 参数 : 源 
IP 地 址 、 分 片 信息 和 生效 时 间 。 当 在 一 条 匹配 规则 中 同时 配置 了 上 述 参数 时 ， 所 有 参数 
都 必须 满足 条 件 ， 路 由 堪 才 会 认为 数据 包 与 这 条 规则 相 匹 配 。 当 然 ， 管 理 员 可 以 根据 实 
际 需求 有 选择 地 使 用 上 述 参数 。 在 第 3 le 我 们 只 介绍 根据 源 IP 地 址 匹配 流量 
的 情况 ， 使 用 分 片 信息 和 生效 时 间 匹 配 流 量 的 操作 在 这 里 不 做 介绍 。 
在 流 控 制 / 徐 化 流 控制 模块 中 应 用 ACL 来 过 滤 流 量 时 ， 管 理 员 可 以 使 用 以 下 三 个 步 
又 来 创建 并 应 用 基本 IP ACL。 
步骤 1 、acl Lnumber] ac7-nunmber: 这 是 一 条 系统 视图 命令 ， 这 条 命令 的 作用 是 创 
建 一 个 IP ACL， 并 进入 IP ACL 视图 。 管 理 员 可 以 使 用 这 条 命令 创建 任意 
类 型 的 ACL (IP ACL、MAC ACL 或 用 户 目 定义 ACL) ， 但 要 注意 根据 ACL 类 
型 来 选择 ACL 的 编写 。 这 条 命令 中 的 参数 如 下 所 示 。 
e acl:; 必 选 关键 字 ， 表 示 管 理 员 将 要 配置 一 个 ACL。 
。 number: 可 选 大 键 字 ， 表 示 管 理 员 要 为 这 个 ACL 定义 一 个 编写。 在 3.3. 1 节 的 
配置 案例 中 ， 我 们 会 省 略 这 个 关键 字 。 
e acl-number: 必 选 参数 ， 在 这 里 设置 管理 员 要 配置 的 ACL 编写。 基本 IP ACL 
的 编号 取 值 范围 是 2000 一 2999。 
步骤 2 rule [rule-id| {deny | permit} [source {source-address source- 
wildcard | any} ]: 这 是 一 条 基本 IP ACL 视图 命令 ， 这 条 命令 的 作用 是 定 
义 一 条 匹配 规则 。 这 条 命令 中 的 参数 如 下 所 示 。 
。 rule: 必 选 天 键 字 ， 表 示 管 理 员 将 要 配置 一 条 规则 。 
e。 rule-id: 可 选 关 键 字 ， 管 理 员 可 以 手动 指定 这 条 规则 的 编号 ， 这 个 关键 字 多 用 
于 常理 员 需 要 问 现 有 ACL 的 规则 中 插入 新 规则 的 情形 。 当 管理 员 没 有 配置 这 个 
参数 时 ， 路 由 器 会 按照 步 长 〈 默 认为 5) 上 自动 为 这 条 规则 设置 编号 。 
e deny | permit: 必 选 关键 字 (二 选 一 ) ， 指 定 这 条 [匹配 规则 的 行为 。 如 果 要 于 
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弃 与 这 条 规则 相 匹 配 的 IP 数据 包 ， 就 使 用 关键 字 deny。 如 果 要 放行 与 这 条 规 
则 相 匹 配 的 IP 数据 包 ， 束 使 用 关键 子 permit。 

e source {source-address source-wildcard | any}: 可 选 关 键 字 组 ， 关 键 字 
source 表示 管理 员 要 配置 源 IP 地 址 信息 ; source-address source-wildcard 
参数 用 来 指定 具体 的 IP 地 址 ,注意 这 里 使 用 的 是 IP 地 址 加 通配符 掩 码 的 格式 ; 
关键 字 any 表示 这 条 规则 要 匹配 任意 源 IP 地 址 的 数据 包 。 

步骤 3 traffic-filter {inbound | outbound} {acl | ipv6 acl} {ac/l-number 

| name ac7-name) : 这 是 一 条 接口 视图 命令 ， 其 作用 是 在 接口 上 应 用 ACL。 
这 条 命令 各 个 参数 的 作用 如 下 所 示 。 

。 traffic-filter: 必 选 关键 字 ， 表 示 管 理 员 要 在 接口 上 应 用 ACL， 并 根据 ACL 
中 的 设置 进行 数据 包 过 波 。 

。 inbound | outbound: 必 选 关键 字 《〈 二 选 一 ) ， 指 定 这 个 ACL 的 应 用 方 同 。 如 
果 想 要 对 路 由 顺从 这 个 接口 接收 到 的 数据 包 执 行 过 滤 ， oe 关键 宁 inbound; 
如 果 想 要 对 路 由 器 通过 了 这 个 缕 口 转 及 的 数据 包 执行 过 滤 ， 就 使 用 关键 字 
outbound 。 

e acl | ipv6 acl: 必 选 关键 字 (二 选 一 ) ， 指 定 对 IPv4 还 是 IPv6 数据 包 进 行 
过 滤 。 如 果 想 要 对 IPv4 数据 包 执 行 过 滤 ， 束 使 用 关键 字 acl; 如果 想 要 对 IPv6 
数据 包 执 行 过 滤 ， 束 使 用 关键 字 ipv6 acl。 

e。 acl-number | name acl1-name: 必 选 关键 字 ( 二 选 一 ) ， 指 定 要 用 来 过 滤 数 据 
a 


) 福 熔 : 

步骤 2 创建 IP ACL 规则 的 命令 中 还 包含 一 些 其 他 的 可 选 关 键 字 可 供 管理 员 使 用 ， 
但 由 于 这 些 内 容 超出 了 本 书 范畴 ， 因此 本 节 不 进行 介绍 。 有 关 这 条 命令 的 完整 名 法 与 参 
数 描述 信息 ， 感 兴趣 的 读者 可 以 参考 华 华为 设备 配置 命令 湖 考 


接 下 来 我 们 通过 一 个 简单 的 案例 来 具体 实施 一 个 基本 IP ACL。 
3.3.1 创建 基本 IP ACL 


图 3=10 所 示 为 一 个 简单 的 企业 网 环境 案例 ，AR1 作为 网 络 中 唯一 一 台 路 由 堪 ， 负 责 
不 同 VLAN 之 间 的 数据 转发 ， 同 时 作为 企业 网 的 网 关 为 局 域 网 中 的 主机 提供 Internet 连 
接 。AR1 通过 G6/0/0 接口 连接 服务 提供 商 网 络 ， 使 用 服务 提供 商 分 配 的 IP 地 址 
222. 200. 8. 10 与 服务 提供 商 的 路 由 器 进行 通信 。 管 理 员 在 AR1 上 手动 配置 了 一 条 默认 路 
由 ， 这 条 默认 路 由 的 出 接口 为 66/0/0， 下 一 跳 IP 地 址 为 222. 200. 8.9。6670VL1 接口 连 
接 公司 的 服务 器 VLAN (VLAN 10) ， 其 IP 地 址 为 10. 10. 10. 254/24。G6/0/2 接口 连接 公 
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司 的 工程 部 VLAN (VLAN 20) ， 其 IP 地 址 为 10. 10. 20. 254/24。6G6/0/3 接口 连接 公司 的 
财务 部 VLAN (VLAN 30) ， 其 IP 地 址 为 10. 10. 30. 254/24。 财 务 部 门 服务 器 使 用 的 IP 
地 址 是 10. 10. 10. 10/24，PC20 使 用 的 IP 地 址 是 10. 10. 20. 20/24，PC30 使 用 的 IP 地 址 
是 10. 10. 30. 30/24。 


服务 器 10 










VLAN 10〔〈 财 务 部 服务 器 ) 
10.10.10.0/24 


+: 增 


出 向 ACL 2010 
G6/0/1 


x 

VLAN 20 (工程 部 ) 三 
10.10.20.0/24 

这 
VLAN 30 (财务 部 ) 
10.10.30.0/24 


为 了 方便 读者 参考 ， 我 们 把 图 中 的 接口 、PC 和 服务 器 的 地 址 规划 整理 为 表 3-6。 
表 3-6 基本 IP ACL 环境 中 的 IP 地 址 规划 


设备 







G6/0/0 
入 癌 ACL 2000 






GO/0/3 





图 3-10 基本 IP 华 L 实施 环境 
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在 这 个 企业 网 环境 中 ， 管 理 员 要 通过 基本 IP ACL 实现 以 下 需求 。 
。 源 IP 地 址 为 私有 地 址 的 流量 不 能 从 Internet 进入 企业 网 络 。 
。 财务 部 门 服务 器 VLAN (10. 10. 10.0/24) 中 的 服务 器 只 能 由 财务 部 VLAN 
(10. 10. 30. 0/24) 中 的 主机 进行 访问 。 
根据 上 述 需 求 ,管理 员 决 定 在 ARl1 的 66/0/0 和 G6/0/1 接口 上 实施 相应 的 过 滤 行 为 ， 
并 创建 了 下 面 两 个 基本 IP ACL， 详 见 例 3-1 所 示 。 
例 3-1 在 AR1 上 创建 基本 IP ACL 


[ARl]jacl 2000 
[ARl1-~acl-basic-2000]rule deny source 10. 0.0.0 0. 255. 255. 255 
[AR1-acl-basic-2000]jrule deny source 172. 16. 0.0 0. 15. 255. 255 
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[ARI-acl-basic-2000]rule deny source 192. 168. 0. 0 0. 0. 255. 255 
[AR1-acl-basic-2000jquit 

[ARljacl 2010 
[AR1-acl-basic-2010]j]rule permit source 10. 10. 30. 0 0. 0. 0. 255 
[ARI-acl-basic-2010j]rule deny source any 


注 尝 : 

私有 地 址 是 为 了 让 不 同 的 私有 网 络 能 够 复 用 相同 的 网 络 地 址 , 以 达到 节省 IP 地 址 资 
源 的 目的 ， 而 保留 的 一 段 IPv4 地 址 空间 ， 这 段 地 址 空间 定义 在 RFC 1918 文档 中 。 根 据 
RFC 1918 的 定义 ， 以 下 3 个 地 址 空间 被 保留 给 各 个 私有 网 络 。 

e 10.0.0.0/8: 包含 的 IP 地 址 范围 是 10.0.0.0 ~ 10.255.255.255。 

e ”172.16.0.0/12: 包含 的 IP 地 址 范围 是 172.16.0.0 ~ 172.31.255.255。 

e 192.168.0.0/16: 包含 的 IP 地址 范围 是 192.168.0.0 ~ 192.168.255.255。 

有 关 私 有 IP 地 址 的 内 容 ， 我 们 会 在 第 4 章 中 进行 详细 介绍 。 


根据 醒 文 需求 ， 官 理 员 在 ACL 2000 中 拒绝 了 所 有 源 为 私有 IP 地 址 的 访问 ， 在 ACL. 
2010 中 只 允许 VLAN 30 的 主机 访问 。 例 3-2 使 用 display acl 命令 查看 了 这 了 两 个 IP ACL 
的 配置 。 

例 3-2 -查看 管理 员 创 建 的 两 个 IP ACL 

[AR1]jdisplay acl all 也 

Total quantity of nonempty ACL number is 2 


Basic ACL 2000; 3 rules | 

Acl s step is.5 

rule 5 deny source 10.0.0.0 0. 255. 255. 255 
rule 10 deny source 172. 16. 0.0 0. 15. 255. 255 
rule 15 deny _ Source 192. 168. 0. 0 0. 0.255. 255 


人 


Basic ACL 2010, 2 rules 
Acl s step is 5 
rule 5 permit source 10. 10. 30.0 0. 0. 0. 255 


rule 10 deny 


[AR1] 

管理 员 可 以 使 用 display acl all 命令 来 得 看 路 由 器 上 配置 的 所 有 ACL， 也 可 以 使 
用 display acl ac71-number 来 查看 指定 ACL。 

在 3. 3. 2 节 中 ， 我 们 会 把 这 两 个 ACL 分 别 应 用 在 相应 接口 的 相应 方向 上 ， 并 且 通 过 
测试 来 验证 ACL 的 配置 结果 。 


第 3 章 访问 控制 列表 


3.3.2 ”应 用 基本 IP ACL 


现在 我 们 先 按 照 设 计 ， 把 两 个 基本 IP ACL 应 用 在 相应 的 位 置 上 ， 详 见 例 3-3 所 示 。 
例 3-3 应 用 管理 员 创 建 的 两 个 IP ACL 
[AR1] interface g6/0/0 
[ARl1-GigabitEthernet6/0/0]traffic-filter inbound acl 2000 
[AR1-GigabitEthernet6/0/0] quit 
[ARI]interface g6/0/1 | 
[AR1-GigabitEthernet6/0X1jtraffic-filter outbound acT 2010 | | 
从 例 3-3 所 示 命 令 可 以 看 出 ， 管 理 员 在 连接 ISP (服务 提供 商 ) 的 接口 66/0/0 上 应 
用 了 入 向 ACL， 过 滤 源 IP 地 址 为 委 有 地 址 的 流量 。 在 连接 服务 器 VLAN 的 接口 66/0/1 上 
应 用 了 出 向 ACL， 只 放行 VLAN 30 的 流量 。 接 下 来 ， 我 们 来 测试 一 下 这 两 个 基本 IP ACL 
的 效果 。 首 先 ， 我 们 从 IP ACL 2000 开始 测试 ， 详 见 例 3-4。 
例 3-4 测试 基本 IP ACL 2000 
[ISP]ping 222. 200. 8. 10 | 
PING 222. 200. 8, 10: 56 data bytes, press CTRL C to break 
Reply from 222. 200. 8. 10: bytes=56 Sequence=l ttl1=255 time=90 ms 
Reply from 222. 200.8.:10: bytes=56 Sequence=2 tt1=255 time=10 ms 
from 222. 200. 8. 10: bytes=56 Segquence=3 ttl1=255 time=50 ms 
i 222. 200. 8. 10: bytes=56 Sequence=4 tt1=255 time=40 ms I 
Reply from 222, 200. 8, 10: bytes=56 Sequence=5 tt1=255 time=50 ms 


Reply 


222, 20078. L001ing statly ticd 
| 5-packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 
round-trip min/avg/max = 10/48/90 ms 


[ISPlpine =a 172.16.0, 2222 200.9 0 
PING 222. 200.8.10: 56 data bytes, press CTRL C to break 
Request time out 
Request time out 
Request time -out 
Request time out 


Request time out 
119023, 200:8. 10 ping statisstics 一 


5 packet(s) transmitted 


0 packet (s) received 
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100. 00% packet loss 


[ISP] 

在 例 3-4 中 ， 我 们 从 ISP 路 由 器 向 AR1 的 66/0/0 接口 发 起 了 ping 测试 。 在 第 一 次 
测试 中 ， 我 们 使 用 了 默认 源 IP 地 址 ， 也 就 是 ISP 接口 60/0/0 的 IP 地 址 222. 200. 8. 9， 
测试 成 功 。 第 二 次 测试 我 们 在 ping 命令 中 使 用 -a 关键 字 指 定 了 发 起 这 个 ping 测试 的 源 
IP 地 址 ， 并 将 其 指定 为 一 个 私有 IP 地址， 测试 失败 。 

当 AR1 从 66/070 接口 接收 到 数据 包 时 ， 它 会 检查 接口 有 无 应 用 任何 入 向 过 滤 措 施 。 
在 发 现 需要 使 用 入 同 ACL 2000 对 这 个 数据 包 执 行 过 滤 时 ，AR1 会 按照 ACL 2000 中 配置 
的 匹配 规则 来 对 这 个 数据 包 进 行 匹 配 。 在 第 二 次 ping 测试 过 程 中 ，AR1 发 现 它 接收 到 的 
数据 包 与 ACL 2000 中 编号 为 10 的 条 目 相 匹配 ， 这 时 它 就 会 对 这 个 数据 包 应 用 条 目 10 
中 指定 的 行为 一 一 丢弃 。 

在 3.2.3 节 (入 向 IP ACL〉 中 ， 我 们 曾经 描述 过 路 由 器 对 于 入 向 IP ACL 的 处 理 过 
程 。 在 这 里 ， 我 们 可 以 根据 案例 ， 再 次 明确 指出 拒绝 (deny) 语句 的 作用 : 一 旦 数据 包 与 
拒绝 (deny) 语句 相 匹 配 ， 那 么 无 论 这 个 数据 包 应 该 受到 的 下 一 步 处 理 行为 是 什么 ， 路 由 
器 都 会 直接 丢弃 这 个 数据 包 ， 而 不 会 进行 任何 下 一 步 操作 (不 会 返回 任何 ICMP 消息 ) 。 
相反 ， 对 于 允许 (permit) 语句 ， 当 数据 包 与 允许 (permit ) 语句 相 匹配 时 ， 路 由 器 才 会 
进一步 处 理 这 个 数据 包 ， 在 本 例 中 也 就 是 为 这 个 ICMP Echo-Request 消息 返回 ICMP Echo- 
Reply 消息 。 图 3-11 中 展示 了 进行 这 两 次 ping 测试 时 ， 在 AR1 接口 66/0/0 的 抓 包 截图 。 

加 Capturing from Standard input - Wireshark 


Ele Edit View Go Capture Analyze Statistics Telephony “Tools Help 


副 记 剧 人 市 | 加 加 多 庆 骂 so* 和 ol 磋 国 |@ 义 入 四 | 硬 回 蝎 关 | 也 
Fiter i L | 肖 Expression.. Clear Apply | 


Time Source Destination Protocol Info ~ 


I 









DirTerentiated Services 徐 Eid: UXUU (DSCP UXUU: UeTatiIE ECN: XUU) 本 
Total Length: 84 | 
i Identification: 0x002d (45) 
下 Flags: Ox00 
Fragment offset: 0 5 
Time to Tive: 255 | 
Protocol: ICMP (1) 1 
' mHeader checksum: 0x2898 [correct] 
Soyrce: 172.16.0.1 (172.16.0.1) -| 
Destination: 222.200.8.10 (222.200.8.10) ， 
a Enternet Control Message Protocol 


人 













UM i 
no & 10 dQ0 Ql : 
0020 a 04 00 72 fe 2a 00 Ob 2 yy | 
0039 S93 bi D6 07 Uf 2 人 v 


加 | Frame (frame), 98 bytes | Packets: 15 Li 人 ep 0 |Profile: Default 


图 3-11 在 ARl 接口 66/0/0 上 抓 包 的 截图 
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从 图 3-11 中 可 以 看 出 ,AR1 以 ICMP Echo-Reply 消 息 回 应 了 源 IP 地 址 为 222. 200. 8. 9 
的 ping 请 求 ， 但 对 于 源 IP 地 址 为 172. 16. 0. 1 的 ping 请 求 ，AR1 则 没有 给 出 任何 回应 。 
因此 ， 在 例 3-4 中 ，ISP 路 由 器 发 起 的 第 二 次 ping 测试 返回 的 结果 为 请 求 时 间 超 时 


(Request time out) 。 


注 料 : 

本 例 展 示 的 是 在 简化 流 策略 中 应 用 ACL 的 案例 。 此 时 ， 如 果 使 用 基于 源 IP 地 址 作 
为 匹配 规则 的 基本 IP ACL 来 过滤 IP 流量 ， 过 滤 的 流量 就 会 包括 以 设备 本 地 作为 目的 地 
址 的 ICMP 流量 。 若 在 流 策略 中 应 用 ACL 进行 过 滤 ， 风 本 例 中 的 ACL 不 能 用 来 过 滤 以 
设备 本 地 作为 目的 地 址 的 ICMP 流量 。 这 是 因为 流 策略 中 的 ACL 无 法 过 滤 屠 些 要 被 上 送 
到 CPU 处 理 的 流量 ， 而 这 其 中 就 包 括 了 去 往 设 备 本 地 的 ICMP 流量 。 读 者 在 使 用 不 同 
的 ACL 应 用 方式 时 ， 应 参考 华 光 官方 网 站 的 配置 参考 文档 ， 确 认 该 种 ACL 应 用 方式 中 
的 使 用 条 件 和 具体 配置 命令 。 


下 面 我 们 来 测试 基本 IP ACL 2010 的 效果 ;测试 过 程 见 例 3-5 所 示 。 
例 3-5 测试 基本 IP ACL 2010 
PC30>ping 10.10. 10. 10 


ping’10..10. 10; 10: 32 data bytes, Press Ctrl.C to break 
From 10. Yo. 10. 10: bytes=32 seq=l ttl=254 time=16 ms 疡 区 
From 10. 10. 10,10: bytes=32 seq=2 ttl=254 time=16 ms 
From 10. 10. 10. 10: bytes=32 seq=3 ttl=254 time=15 .ms 
From 10. 10. 10, 10: bytes=32 Seq=4 ttl=254 time=16 ms 
From 10. 10. 10. 10: bytes=32 seq=5 ttl=254 time=16 ms 


-Or Te MO Din Statiotiesl mm 
5 packet(s) transmitted 
5 packet (s) received 
0. 00% packet loss 
round-trip min/avg/max = 15/15/16 ms 


PC30> 
PC20>ping 10. 10; 10. 10 


Pine 10, 10: 10 10: 32 data'bytes, Press Ctrl Qto break 
Request timeout! 
Request timeout! 
Request timeout! 


Request timeout! 
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Request timeout! 


= iO 0 0 10 ping statistios 一 一 
5 packet(s) transmitted 
0 packet(s) received 
100. 00% packet loss 


PC20> 

例 3-5 分 别 从 PC30 和 PC20 向 服务 器 10 发 起 了 ping 测试 。 从 测试 结果 可 以 看 出 ， 
PC30 的 ping 测试 成 功 ， 而 PC20 的 ping 测试 失败 ， 这 也 正 是 我 们 通过 基本 IP ACL 2010 
想 要 实现 的 效果 。 

现在 ， 请 注意 PC20 的 ping 测试 ， 此 测试 结果 也 是 超时 。 也 就 是 说 ， 路 由 器 在 根据 
ACL 中 定义 的 规则 丢弃 数据 包 后 ， 并 不 会 针对 这 次 丢弃 行为 向 发 出 这 个 数据 包 的 源 设备 
做 出 任何 “解释 ”。 

在 测试 并 验证 了 这 两 个 基本 IP ACL 能 够 正常 发 挥 其 功能 后 ， 我 们 还 遗留 了 一 个 问 
题 ， 那 就 是 在 创建 和 应 用 ACL 之 前 的 设计 步骤 。 尽 管 在 实施 中 ， 管 理 员 需 要 先 创 建 ACL 
再 将 其 应 用 在 某 个 接口 的 某 个 方向 上 ， 但 实际 上 管理 员 先 要 确定 的 是 ACL 的 应 用 位 置 和 
方向 ， 然 后 才 会 相应 地 创建 ACL 中 的 具体 匹配 规则 和 行为 。 

这 也 就 是 说 , 在 实施 IP ACL 时 , 管理 员 的 工作 流程 是 首先 确定 需求 , 然后 设计 IP ACL 
《确定 应 用 的 位 置 和 方向 ， 再 确定 具体 的 匹配 规则 和 顺序 ) ， 最 后 实施 IP ACL。 其 实 我 
们 在 展示 本 例 中 的 基本 IP ACL 配置 之 前 ， 已 经 提 到 过 “根据 上 述 需求 ， 管 理 员 决 定 在 
60/0/1 和 G0/070 接口 上 实施 相应 的 过 滤 行 为 ”。 道 第 只 有 确定 了 IP ACL 的 应 用 位 置 和 
方向 ， 管 理 员 才 能 开始 设计 IP ACL 中 的 具体 规则 和 顺序 。 这 是 因为 应 用 位 置 和 方 问 对 于 
ACL 的 匹配 规则 是 会 产生 影 啊 的 。 

以 本 例 中 的 第 2 个 需求 为 例 ， 请 考虑 图 3-12 所 示 拓 扑 的 情况 。 


服务 器 10 






VLAN 10〔 财 务 部 服务 器 )， 
; 10.10.10.0/24 


be 
VLAN 20 工程 部 ) 
10.10.20.0/24 : 


VLAN 30 (财务 部 ) 
10.10.30.0/24 





G6/0/2 GO/O/l 


图 3-12 增加 路 由 器 后 ACL 应 用 位 置 的 变更 
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假设 在 这 个 企业 网 络 中 , 管理 员 使 用 其 他 路 由 器 连接 服务 器 区 域 (包括 服务 器 10) ， 
那么 这 时 要 想 通过 基本 IP ACL, 实现 “只 人 允许 VLAN 30 中 的 用 户 PC 能 够 访问 服务 器 VLAN 
10” 的 需求 ， 需 要 如 何 修 改 我 们 之 前 的 配置 呢 ? 

首先 我 们 要 确定 在 这 个 环境 中 ， 哪 个 位 置 适合 应 用 基本 IP ACL， 并 根据 源 IP 地 址 
进行 过 滤 。 这 时 我 们 有 一 个 设计 原则 : 在 靠近 目的 的 位 置 应 用 基本 IP ACL。 根 据 这 个 设 
计 原 则 , 管理 员 可 以 确定 AR2 的 G0/0/0 接口 为 最 佳 的 实施 位 置 , 因为 它 是 直接 连接 目的 
VLAN 10 的 接口 ， 并 且 ACL 的 应 用 方 同 是 出 方向 。 接 着 需要 确定 ACL 的 具体 条 目 ， 这 时 
我 们 会 发 现 原本 应 用 在 AR1 接口 66/0/1 上 的 出 向 ACL 2810 也 适用 于 图 3-12 中 的 环境 。 
因此 管理 员 只 要 把 AR1 接口 66/0/1 上 的 出 同 ACL 删除 ， 在 AR2 上 创建 匹配 规则 相同 的 
ACL， 并 将 其 应 用 在 AR2 接口 60%0/0 的 出 方向 上 ， 就 满足 了 新 拓扑 的 过 滤 需 求 。 

如 果 读 者 还 没有 完全 清晰 地 理解 “在 靠 近 目 的 的 位 置 应 用 基本 IP ACL” 的 设计 原则 ， 
那么 请 考虑 不 修改 之 前 的 配置 ， 在 新 拓扑 中 仍 由 AR1 在 其 G6/0/1 接口 上 执行 出 向 过 滤 ， 
看 看 这 时 会 发 生 什么 。 假 设 现 在 工程 部 (VLAN 20) 中 的 终端 PC20 需要 访问 互联 网 ， 它 
的 访问 可 以 成 功 吗 ?显然 是 不 行 的 ，AR1 在 收 到 PC20 发 来 的 数据 包 后 ， 会 检查 这 个 数据 
包 是 否 要 执行 入 同 过 滤 ， 发 现 66/0/2 接口 上 并 没有 应 用 任何 入 同 ACL 后 ，AR1 继续 处 理 
这 个 数据 包 。 查 询 了 本 地 的 IP 路 由 表 后 ，AR1 知道 应 该 从 接口 66/0/1 把 这 个 数据 包 转 

发 出 去 。 和 在 真正 执行 转发 行为 之 前 ， 它 还 会 查看 66/0/71 接口 的 出 向 过 滤 措 施 ， 然 后 根据 
ACL 2010 中 的 设置 丢弃 这 个 数据 包 。 

图 3-13 描绘 了 路 由 器 AR1 接口 66/0/1 上 出 向 ACL 和 路 由 器 AR2 接口 G0/0/0 上 出 

问 ACL 的 影响 范围 。 





,Internet | 


ED 


图 3-13 出 同 ACL 的 影响 范围 


在 这 个 拓扑 中 ，ARI 接口 66/0/1 上 出 向 ACL 的 影响 范围 (矩形 灰色 区 域 ) 要 比 AR2 
接口 60/0/0 上 出 向 ACL 的 影响 范围 《局 形 灰 色 区 域 ) 大 很 多 。 从 图 3-13 中 很 容易 可 以 
看 出 ,在 使 用 源 IP 地 址 执行 过 滤 时 ， 要 把 过 滤 行 为 尽量 部 署 在 靠近 目的 的 位 置 ， 这 样 做 
可 以 避免 把 应 该 转发 的 流量 提前 丢弃 ， 也 可 以 实现 更 精确 的 过 小。 

但 这 种 过 滤 方 式 也 有 一 定 的 缺陷 ， 那 就 是 本 应 该 被 丢弃 的 流量 会 穿越 整个 网 络 ， 直 
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到 差 一 步 就 抵达 目的 地 的 位 置 才 被 丢弃 。 比 如 其 他 部 门 的 PC 在 尝试 访问 服务 器 区 域 时 ， 
AR1 会 转发 这 些 流量 ，AR2 会 处 理 这 些 流量 , 并 在 转发 之 前 进行 丢弃 。 这 种 做 法 耗费 了 转 
发 路 径 中 所 有 路 由 器 的 处 理 资源 ， 以 及 网 络 路 径 中 的 带宽 资源 ， 违 背 了 我 们 在 本 册 教 材 
1.2.1 节 ( 接 入 层 ) 中 提出 的 “尽快 过 滤 ” 原 则 。 要 想 在 实施 过 滤 的 同时 兼顾 到 设备 和 
网 络 资源 ， 管 理 员 可 以 使 用 高 级 IP ACL， 这 也 是 3. 4 节 将 要 介绍 的 重点 。 


-3.4 高 级 IP ACL 


在 使 用 高 级 IP ACL 进行 流量 过 滤 时 ， 管 理 员 能 够 在 匹配 规则 中 设置 多 种 参数 ， 其 
中 包括 : 源 和 目的 IP 地 址 、IP 协议 类 型 、TCP/UDP 源 和 目的 端口 号 (端口 号 范围 ) 、 分 
片 信 息 和 生效 时 间 。 当 在 一 条 匹配 规则 中 同时 配置 了 上 述 参 数 时 ， 则 必须 所 有 参数 都 满 
足 和 条件， 路 由 器 才 会 认为 数据 包 与 这 条 规则 相 匹 配 。 当 然 ， 管 理 员 可 以 根据 实际 需求 有 
选择 地 使 用 上 述 参 数 。 在 3.4 节 的 配置 案例 中 , 我 们 只 会 展示 根据 目的 IP 地 址 进行 匹配 
的 情况 ， 其 他 参数 可 由 读者 日 行 尝试 。 z z 
在 流 控 制 / 简 化 流 控制 模块 中 应 用 ACL 来 过 滤 流 量 时 ， 管 理 员 可 以 使 用 以 下 三 个 步 
”又 来 创建 并 应 用 高 级 IP ACL。 | 
步骤 1 acl [number] ac1-number: 这 是 一 条 系统 视图 命令 ， 这 条 命令 的 作用 是 创 
建 一 个 IP ACL， 并 进入 IP ACL 视图 。 管 理 员 可 以 使 用 这 条 命令 创建 任意 
类 型 的 ACL (IP ACL、MAC ACL 或 用 户 自 定义 ACL) ， 但 要 注意 根据 ACL 类 
型 来 选择 ACL 的 编号 。 这 条 向 令 中 的 参数 如 下 所 示 。 
。 acl: 必 选 关键 字 ， 表 示 管 理 员 将 要 配置 一 个 ACL。 
。 number: 可 选 关 键 字 ， 表 示 管 理 员 要 为 这 个 ACL 定义 一 个 编号 。 在 3.4 市 的 配 
置 案例 中 ， 我 们 会 省 略 这 个 关键 字 。 
。 ”ac1-number: 必 选 参数 ， 在 这 里 设置 管理 员 要 配置 的 ACL 编号 。 高 级 IP ACL 
的 编号 取 值 范围 是 3000~3999。 
步骤 2 rule [rile-id| ldeny | permit} ip [destination {destination-address 





destination-wildcard | any } | source {source-address source—wildcard 
| any} : 这 是 一 条 高 级 IP ACL 视图 命令 , 这 条 命令 的 作用 是 定义 一 条 规则 。 
这 条 命令 中 的 参数 如 下 所 示 。 
。 rule: 必 选 关键 字 ， 表 示 管 理 员 将 要 配置 一 条 规则 。 
。 rule-id: 可 选 关 键 字 , 管理 员 可 以 手动 指定 这 条 规则 的 编号 ， 这 个 参数 多 用 于 
管理 员 需 要 问 现 有 ACL 的 规则 中 插入 新 规则 的 情形 。 当 管理 员 没 有 配置 这 个 参 
数 时 ， 路 由 器 会 按照 步 长 (默认 为 5) 目 动 为 这 条 规则 设置 编号 。 
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deny | permit: 必 选 关键 字 〈 二 选 一 ) ， 指 定 这 条 匹配 规则 的 行为 。 如 果 要 丢 
弃 与 这 条 规则 相 匹 配 的 IP 数据 包 ， 就 使 用 关键 字 deny。 如 条 要 放行 与 这 条 规 
则 相 匹 配 的 IP 数据 包 ， 束 使 用 关键 字 permit。 

destination {destination-address destination-wildcard | any }: 可 选 关 
键 字 组 ， 关 键 字 destination 表示 管理 员 要 配置 目的 IP 地 址 信息 ; destination- 
address destination-wildcard 参数 用 来 指定 具体 的 IP 地 址 ， 注 意 ， 这 里 使 
用 的 是 IP 地 址 加 通配符 掩 码 的 格式 ; -关键 字 any 表示 这 条 规则 要 匹配 任意 目的 
IP 地 址 的 数据 包 。 : 境 

source {source-address source-wildcard | any} : 可 选 关 键 字 组 ， 关 键 字 
source 表示 管理 员 要 配置 源 IP 地 址 信息 ; source-address source-wildcard 
参数 用 来 指定 具体 的 IR 地址 ， 关 键 字 any 表示 这 条 规则 要 匹配 任意 源 IP 地 址 
的 数据 包 。 


步骤 3 traffic-filter {inbound | outbound} {acl | ipv6 acl} {ac/7-number 


| name ac1-name} : 这 是 一 条 接轨 视图 命令 ， 其 作用 是 在 接口 上 应 用 ACL。 
这 条 命令 各 个 参数 的 作用 如 下 所 示 。 
traffic-filter: 必 选 关键 字 ， 表 示 管 理 员 要 在 接口 上 应 用 ACL， 并 根据 ACL 
+ 中 的 设置 进行 数据 包 过 滤 。 
inbound | outbound: 必 选 关键 字 〈 二 选 一 ) ， 指 定 这 个 ACL 的 应 用 方向 。 如 
果 想 要 对 路 由 器 从 这 个 接口 接收 到 的 数据 包 执 行 过 小 , 不 使 用 关键 学 inbound; 
如 果 想 要 对 路 由 器 通过 这 个 接口 转发 的 数据 包 执 行 过 滤 ， 就 使 用 关键 字 
outbound 。 
acl | ipv6 acl: 必 选 关键 字 【( 二 选 一 ) ， 指 定 对 IPv4 还 是 IPv6 数据 包 进 行 
过 滤 。 如 果 想 要 对 IPv4 数据 包 执 行 过 滤 ， 就 使 用 关键 字 acl; 如 果 想 要 对 IPv6 
数据 包 执 行 过 滤 ， 束 使 用 关键 字 ipv6 acl: 
ac1-number | name ac1-name: 必 选 关键 字 ( 二 选 一 ) ， 指 定 用 来 过 滤 数 据 包 
的 IP ACL。 管 理 员 可 以 通过 ACL 编号 或 ACL 名 称 来 进行 应 用 。 


在 设备 上 配置 高 级 IP ACL 规则 时 ， 根 据 IP 所 承载 的 不 同 协议 类 型 (比如 ICMP、 
TCP、UDP、OSPF 等 ), ACL 规则 中 有 不 同 的 参数 组 合 。 步骤 2 展示 了 协议 类 型 为 IPv4 
时 创建 高 级 IP ACL 的 规则 ， 并 且 该 命令 中 还 包含 其 他 的 可 选 关 键 字 可 供 管 理 员 使 用 。 
由 于 这 些 内 容 超 出 了 本 套 教材 的 范畴 ， 因 此 不 再 过 多 介绍 。 有 关 这 条 命令 以 及 其 他 协议 
类 型 命令 的 完整 句法 与 参数 描述 信息 ， 感 兴趣 的 读者 可 以 参考 华为 设备 配置 命令 参考 。 


接 下 来 我 们 通过 一 个 简单 的 案例 来 具体 实施 一 个 高 级 IP ACL。 
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3.4.1 创建 高 级 1P ACL 


图 3-14 所 示 企 业 网 环境 与 基本 IP ACL 案例 中 添加 了 一 台 路 由 器 后 的 拓扑 相同 ， 这 
时 路 由 器 AR1 的 66/0/1 接口 与 AR2 相连 ,它们 之 间 使 用 的 网 段 是 10. 10. 12. 0/24， 其 中 
AR1 接口 66/0/1 的 IP 地址 是 10. 10. 12. 1/24。AR1 的 G6/0/2 接口 连接 公司 的 工程 部 VLAN 
(VLAN 20) ， 其 IP 地 址 为 10. 10. 20. 254/24。G6/0/3 接口 连接 公司 的 财务 部 YLAN (VLAN 
30) ， 其 IP 地 址 为 10. 10. 30. 254/24。 路 由 器 AR2 负责 连接 服务 器 区 域 ， 同 时 它 还 充当 
了 企业 网 连接 服务 提供 商 的 网 关 设 备 ， 为 局 域 网 中 的 内 部 主机 提供 Internet 连接 。AR2 
通过 G0/0/70 接口 连接 公司 的 服务 器 VLAN (VLAN 10) ， 其 IP 地 址 为 10. 10. 10. 254/24; 
AR2 通过 G0/0/1 连接 AR1， 其 IP 地 址 为 10. 10. 12. 2/24。 财 务 部 门 服务 器 使 用 的 IP 地 
址 是 10. 10. 10. 10/24，PC20 使 用 的 IP 地 址 是 10. 10. 20. 20/24，PC30 使 用 的 IP 地 址 是 
10. 10. 30. 30/24。 


服务 器 10 






rr \ 
VLAN 10 删 务 部 服务 器 》. 






1010.10.0/ 和 ， 
,PC20 ey 
po i 
i Wy. ES Te | bd 
vu A 9 入 向 ACL 3000 \ 
Rs > G6/0/2 GO/0/0 


GUO/U/ 1 


a 


a A er 活 » - 
VLAN 30 (财务 部 六 
10.10.30.0/24 1 


-i 
We ld 并 a 2 | 


图 3-14 高 级 IP ACL 实施 环境 


为 了 方便 读者 参考 ， 我 们 把 图 中 的 接口 、PC 和 服务 器 的 地 址 规划 整理 为 表 3-7。 
表 3-7 高 级 IP ACL 环境 中 的 IP 地 址 规划 


在 这 个 企业 网 环境 中 ， 管 理 员 要 通过 高 级 IP ACL 实现 以 下 需求 。 
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e 财务 部 门 服务 器 VLAN (10.10.10.0/24) 中 的 服务 器 只 能 由 财务 部 VLAN 
(10. 10. 30. 0/24) 中 的 主机 进行 访问 。 

根据 上 述 需 求 ， 管 理 员 决定 在 AR1 的 66/0/2 接口 上 实施 相应 的 过 滤 行 为 ， 并 创建 
了 一 个 高 级 IP ACL， 详 见 例 3-6 所 示 。 

例 3-6 在 AR1 上 创建 高 级 IP ACL 

[ARljacl 3000 

[AR1=-acl-adv-3000jtrule deny ip destination. 10. 10. 10.0 0..0. 0. 255 

根据 前 文 需求 ， 管 理 员 在 ACL 3000 中 禁止 VLAN 2@ 中 的 用 户 PC 访问 VLAN 10。 例 
3-7 使 用 display acl 命令 查看 了 这 个 IP ACL 的 配置 。 

例 3-7 查看 管理 员 创 建 的 高 级 IP ACL 

[ARlldisplay acl 3000 

Advanced ACL 3000, 1 rule 


Acl 8 step is 5 
rule 5 deny ip destination 10. 10. 10.0 0. 040. 255 


[AR1] | 
在 3.4.2 节 中 ， 我 们 会 把 这 个 高 级 IP ACL 应 用 在 相应 接口 的 相应 方向 上 ， 并 且 通 
过 测试 来 验证 配置 的 结果 。 


下 


3.4.2 ”应 用 高 级 IP ACL 


现在 我 们 先 按照 设计 ， 把 这 个 高 级 IP ACL 应 用 在 相应 的 位 置 上 ， 详 见 例 3-8 所 示 。 

例 3-8 应 用 管理 员 创 建 的 高 级 IP ACL 

[ARITinterface g6/0/2 

[AR1-GigabitEthernet6/0/2jtraffic=filter inbound acl 3000 

从 例 3-8 所 示 命 令 可 以 看 出 ， 管 理 员 在 AR1 连接 工程 部 VLAN 的 接口 66/0/2 上 应 用 
了 入 向 ACL， 过 滤 目 的 IP 地 址 为 财务 部 服务 器 VLAN 的 流量 。 接 下 来 我 们 测试 一 下 这 个 
高 级 IP ACL 的 效果 ， 详 见 例 3-9。 

例 3-9 测试 高 级 IP ACL 3000 

PC20>ping 10. 10. 10. 10 


Ping 10. 10.10.10: 32 data bytes, Press Ctrl C to break 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 


Request timeout! 


高 级 网 络 技术 


0 IO. bOI0 Dine 区 二 SC 一 一 
5 packet(s) transmitted 
0 packet(s) received 
100. 00% packet loss 


PC20> 
PC30>ping 10. 10. 10.10 


Ping “10:10. 10. 10: 32-data bytes, Press GtrlG to break 
From 10. 10. 10. 10: bytes=32 seg=] ttl=253 time=78 ms 
From 10. 10. 10. 10: bytes=32 Seq=2 tt]=253 time=3] ms 
From 10. 10. 10.10: bytes=32 sedq=3 ttl=253 time=47 ms 
From 10. 10. 10. 10: bytes=32 seq=4 tt1=253 time=3] ms 
From 10. 10. 10. 10: bytes=32 seq=5 tt1=253 time=32 ms 


os OD EO DA tat tlie 
5 packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 
round-trip min/avg/max = 31/43/78 ms 和 
PC30> 
例 3-9 分 别 从 PC20 和 PC30 向 服务 器 10 发 起 了 ping 测试 。 从 测试 结果 可 以 看 出 ， 
PC20 的 ping 测试 失败 ， 而 PC30 的 ping 测试 成 功 ， 这 也 正 是 我 们 通过 蜗 级 IP ACL 3000 
想 要 实现 的 效果 。 
现在 ， 我 们 不 妨 对 比 一 下 在 类似 的 拓扑 环境 中 ， 使 用 基本 IP ACL 和 高 级 IP ACL 来 
实现 相同 的 访问 限制 需求 有 什么 区 别 ， 如 图 3-15 所 未。 


基本 IP ACL 


服务 费 10 







$f GO/0/0 









服务 器 10 





lf G6/0/] 






GO/0/1 \ 


图 3-15 对 比 基 本 IP ACL 和 高 级 IP ACL 
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图 3-15 简化 了 前 两 个 案例 所 使 用 的 拓扑 环境 ,我 们 把 需求 也 简化 描述 为 不 允许 PC20 
访问 服务 右 10。 在 图 3-15 上 半 部 分 展示 的 使 用 基本 IP ACL 进行 过 滤 时 ， 管 理 员 只 能 
配 源 IP 地 址 参数 。 为 了 避免 错误 地 过 早 丢 弃 以 PC20 为 源 的 数据 包 ， 导 致 PC20 无 法 访问 
本 应 能 够 访问 的 目的 地 ， 管 理 员 只 能 在 靠近 目的 地 (服务 器 10) 的 位 置 应 用 ACL (AR2 
的 G0/0/0 接口 出 方向 ) 。 这 符合 部 署 基本 IP ACL 时 的 建议 ， 即 要 在 靠近 目的 的 位 置 应 
用 基本 ACL。 但 这 样 做 会 导致 本 应 被 丢弃 的 数据 包 在 穿越 整个 网 络 后 才 被 丢弃 ， 浪 费 了 
路 径 中 负责 转发 的 路 由 器 资源 ， 以 及 链 路 带宽 资源 ， 违 背 了 “尽快 过 滤 ” 的 原则 。 

在 图 3-15 下 半 部 分 展示 了 使 用 高 级 IP ACL 进行 过 引 时 ，ACL 的 应 用 位 置 CAR1 的 
G6/0/2 接口 入 方 同 ) ， 即 当 这 个 不 符合 策略 的 数据 包 刚 一 进入 到 网 络 中 ， 就 马上 被 丢弃 
了 。 这 正 是 在 部 署 高 级 IP ACL 时 的 建议 ， 在 靠近 源 的 位 置 应 用 高 级 ACL， 这 也 正好 符合 
我 们 在 本 册 教 材 第 1 章 提 到 的 “尽快 过 滤 ”的 原则 。 

在 展示 了 局 级 IP ACL 的 应 用 并 分 析 了 基本 ACL 和 高 级 ACL 在 应 用 上 的 区 别 后 ， 我 
们 最 后 再 来 对 ACL 中 规则 的 调整 进行 一 点 说 明 。 

单独 删除 指定 规则 : 管理 员 可 以 根据 规则 编号 单独 删除 茶 一 条 规则 ， 详 见 例 3-10 
所 示 。 

例 3-10 单独 删除 一 条 ACL 规则 

[AR 本 display acl 2000 " 

Basic ACA 2000, 4 rules 

Acl s step is 5 

rule 5 deny source 10.0.0.0 0. 255. 255. 255 

rule 10 permit source 10. 10: 0.0 0. 0. 255. 255 


rule 15 deny source 172. 16.0.0 0.0. 15. 255 
rule 20 deny source 192. 168. 0. 0-0. 0..255. 255 


LAR1j acl 2000 

[ARl-acl-basic-2000jundo rule 10 
[AR1-acl-basic-2000]quit 

[ARljdisplay acl 2000 

Basic ACL 2000，3 rules 

Acl’s step is 5 

rule 5 deny source 10. 0. 0.0 0. 255. 255. 255 
rule 15 deny source 172. 16. 0. 0 0. 0. 15. 255 
rule 20 deny source 192. 168. 0.0 0. 0. 255. 255 


[AR1] 


从 例 3-10 中 的 第 1 条 display 命令 的 输出 内 容 中 我 们 可 以 看 出 ， 管 理 员 在 基本 IP 
ACL 2000 中 配置 了 4 条 规则 。 这 个 ACL 无 法 正确 实现 管理 员 的 设计 ， 因 为 规则 10 定义 
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的 IP 地 址 范围 包含 在 规则 5 定义 的 IP 地 址 范围 当中 ， 这 使 得 规则 10 永远 不 会 被 命中 。 
因此 管理 员 通 过 ACL 视图 中 的 命令 undo rule 10， 单 独 删除 了 规则 10。 最 后 一 条 display 
命令 的 输出 内 容 展示 了 配置 后 的 ACL 2000 中 只 剩 下 了 3 条 规则 。 

利用 ACL 步 长 重新 自动 编号 : 管理 员 可 以 通过 修改 ACL 的 步 长 , 让 设备 目 动 调整 ACL 
中 已 有 规则 的 编号 ， 详 见 例 3-11 所 示 。 

例 3-11 通过 修改 ACL 步 长 来 重新 编号 

[ARljdisplay acl 2000 

Basic ACL 2000，3 rules 

Ael s step is 5 

rile 5 deny source 10. 0. 0.0 0.-255. 255. 255 


rule 15 deny source 172. 16.0.0 0. 0. 15. 255 
rule 20 deny source 192. 168. 0.0 0. 0. 255..255 


[ARlJacl 2000 

[ARl-acl-basic-2000jrule 4 permit source 10. 10.0.0 0..0. 255. 255 
[AR1-acl-basic-2000]display acl 2000 

Basic ACL 2000，4 rules 


Acl s step is 5 
rule 4 Termit source 10. 10.0.0 0.0. 255. 255 \ \ 
rule 5 deny source 10.0.0.0 0, 255. 255. 255 1 由 


rule 15 deny source 172. 16. 0.0 0. 0. 15. 255 
rule 20 deny source 192. 168. 0.0 0.0. 255. 255 


[ARl1-acl-basic-2000]step 10 | 
[AR1-acl-basic-2000]display acl 2000 
Basic ACL 2000, 4 rules 
Acl s step is 10 
rule 10 permit Source 10; 10.0.0 0. 0. 255. 255 S 
rule 20 deny source 10.0.0.0 0. 255. 255. 255 
rule 30 deny souyree 172. 16. 0.0 0.0. 15. 255 
rule 40 deny source 192. 16 才 0.0 0. 0. 255. 255 


or 


[AR1i-acl-basic-2000] 
例 3-11 中 的 第 1 条 display 命令 再 次 展示 出 上 一 个 案例 中 删除 了 一 条 规则 后 的 ACL 


2000， 之 后 管理 员 在 正确 的 位 置 插入 了 刚才 删除 的 规则 一 一 插入 在 规则 4 的 位 置 。 在 第 
2 条 display 命令 的 输出 信息 中 ， 我 们 可 以 看 这 个 ACL 中 各 个 语句 的 编号 由 于 之 前 的 删 
除 和 添加 操作 而 变 得 很 不 规则 。 接 着 ， 我 们 使 用 ACL 视图 命令 step 10 把 ACL 2000 的 步 
长 更 改 为 10， 这 条 命令 同时 还 会 重新 排列 ACL 2000 中 已 有 规则 的 编号 。 最 后 一 条 display 


第 3 章 访问 控制 列表 


命令 则 验证 了 重新 排序 的 结果 。 


3.5 “本章 总 结 


本 章 重点 介绍 了 与 访问 控制 列表 相关 的 知识 ， 我 们 从 访问 控制 列表 的 作用 和 工 
作 原 理 入 手 ， 介 绍 了 在 IP ACL 中 使 用 的 一 种 特殊 掩 码 一 一 通配符 掩 人 码 。 通 配 符 掩 
码 的 运算 罗 辑 与 子 网 掩 码 相反 ,在 通配符 掩 码 的 二 进 制 数值 中 ，0 表示 必须 匹配 ，1 
表示 无 需 匹 配 。 接 下 来 ， 本 章 介 绍 了 IP ACL 中 最 为 重要 的 内 容 ， 即 IP ACL 中 的 匹 
配 顺序 。 管 理 员 在 设计 IP AQL 时 ， 要 注意 多 个 规则 之 间 的 先后 顺序 。 鉴 于 设备 黑 
认 是 按照 规则 编号 进行 匹配 的 ， 管 理 员 要 把 较为 精确 的 规则 放 在 较为 宽泛 的 规则 之 
前 ， 这 样 才能 保证 ACL 能 够 实现 管理 员 预 期 的 效果 。 接 着 ， 在 IP ACL 的 工作 原理 
部 分 ， 我 们 还 介绍 了 IP ACL 的 方 辐 。 设 备 会 按照 ACL 的 应 用 方向 ， 针 对 单 同 流量 
实施 过 滤 。 : 

在 完成 了 对 IP ACL 工作 原理 的 说 明之 后， 本章 以 案例 的 形式 展示 了 在 华为 路 由 器 
上 部 著 基 本 IP ACL 和 局 级 IP ACL 的 方法 ， 并 且 通 过 相同 的 网 络 拓 扑 对 比 了 这 丙种 ACL 
在 应 用 上 的 区 别 。 通过 这 部 分 的 学 习 , 读者 要 掌握 “在 靠近 目的 的 位 置 应 用 基本 IP ACL， 
在 靠近 源 的 位 置 应 用 高 级 IP ACL” 的 设计 原则 。 在 本 章 的 最 后 ， 我 们 介绍 了 在 ACL 的 配 
署 中 ， 两 个 实用 的 配置 穿 门 ， 即 利用 规则 编号 删除 指定 规则 ， 以 及 利用 ACL 步 长 重新 调 
整 ACL 编号 。 


UT : 3.6 ”练习 题 

一 、 选 择 题 

1. 访问 控制 列表 〈ACL) 能 够 实现 哪些 功能 ? (多 选 ) ( 。 ) 

A. 流量 过 滤 B， 数据 加密 C， 身 份 认 证 ””D. 数据 包 匹 配 
2. ACL 中 可 以 关联 以 下 哪些 行为 ? (多 选 )(  ) : 

A. 标记 (Mark) B. 人 允许 (Permit) C. 拒绝 (Deny) D. 丢弃 (Drop) 
3， 要 想 在 ACL 中 匹配 以 下 地 址 范围 ， 需 要 使 用 哪个 地 址 /通配符 掩 码 对 ? (  ) 


15 人 0216 47..255 
网 


lia 16, 30,0 Qal 263 
. 172. 16. 80.0 &0. 1. 255 和 172. 16. 32.0 0.0.15. 255 
. 4172. 168, 30,0 0 屿 , 256 和 1 了 72. 项, 到 ,0 以 0 25 
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4. 在 以 下 选项 中 ， 哪 个 选项 匹配 的 IP 地址 范围 最 精确 ? ( ) 

A. 10.20.0.0 0.15.255.255 B. 10.168. 40.0 0. 0. 31. 255 
C. 10. 16. 0.0 0. 7. 255. 255 D. 10. 192. 78.0 0. 0. 0. 255 
5. 


如 果 管 理 员 在 一 个 接口 上 应 用 了 一 个 入 向 IP ACL， 但 这 个 IP ACL 中 没有 定义 任 
何 规划 ， 以 下 说 法 中 正确 的 是 ? ( ) 
A. 未 命中 ， 放 行 所 有 流量 
未 命中 ， 拒 绝 所 有 流量 
在 接口 输入 应 用 ACL 的 命令 时 ， 设 备 会 弹出 提示 消息 并 接受 命令 
在 接口 输入 应 用 ACL 的 命令 时 ， 设 备 会 报错 并 拒绝 命令 
局 级 IP ACL 在 以 下 哪些 方面 优 于 基本 IP ACL? (多 选 )(  ) 
在 越 大 型 的 网 络 环境 中 ， 越 能 够 节省 多 数 路 由 堆 的 处 理 资 源 
在 越 大 型 的 网 络 环境 中 ， 越 能 够 节省 网 络 中 的 市 宽 资 源 
可 以 对 数据 包 匹 配 得 更 为 精确 
配置 更 为 简单 
.针对 以 下 命令 的 输出 信息 ， 选 项 中 说 法 错误 的 是 ? ( ) 
[ARlldisplay acl 3000 
Advanced ACL 3000, 2 rules \ 
Acl s step is'5 j- 
rule 5 permit ip source 10. 10. 30.0 0. 0..0. 255 destination 10. 10. 10.0 0. 0. 0. 255 
rule 10 deny ip destination 10. 10. 10.0 0. 0. 0. 255 


[AR1] EE 
A. ACL 3000 的 步 长 为 5 


B. ACL 3000 中 有 两 个 匹配 规则 

C. ARl1 上 只 配置 了 一 个 高 级 IP ACL 1 

D. 规则 10 拒绝 了 所 有 目的 IP 地 址 为 10. 10. 10. 0~x10. 10. 10. 255 的 数据 包 
二 、 判 断 题 


1. 在 华为 设备 中 ， 党 理 员 使 用 系统 视图 命令 acl ac7-number 创 建 了 基本 或 高 级 ACL 
后 ， 这 个 ACL 就 会 立即 生效 。 

2. 华为 路 由 器 在 对 数据 包 进 行 ACL 匹配 时 ， 默 认 会 在 相应 的 ACL 中 找到 最 精确 匹 
配 的 规则 。 

3. 访问 控制 列表 的 使 用 原则 是 在 靠近 源 的 位 置 应 用 基本 ACL， 在 靠近 目的 的 位 置 应 
用 融 级 ACL。 
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到 目前 为 止 ， 在 我 们 学 习 的 过 程 中 ， 大 量 知识 都 是 围绕 着 私有 网 络 展开 的 。 在 本 书 
中 ,我 们 也 会 接触 一 些 广域网 技术 。 而 本 章 中 ,我 们 所 要 介绍 的 网 络 地 址 转换 CNAT) 技 
术 ， 常 常用 于 实现 私有 网 络 中 的 主机 与 公共 网 络 中 的 资源 之 间 的 通信 。 

当然 子 ，NAT 技术 不 仅仅 可 以 实现 私有 网 络 和 公共 网 络 的 互 访 ， 它 还 提供 了 一 定 的 
安全 功能 ， 并 且 也 会 在 网 络 迁移 时 成 为 管理 员 的 首选 方案 。 这 些 内 容 我 们 都 会 在 本 章 中 
一 一 进行 揭示 。 本 章 会 先 从 NAT 的 作用 入 手 ， 其 中 包含 私有 IP 地 址 的 详细 信息 ， 接 着 着 
重 讲述 NAT 的 工作 原理 ， 以 及 为 了 实现 NAT 作用 而 实现 的 几 种 NAT 类 型 。 

在 掌握 了 NAT 理论 知识 后 ， 本 章 的 后 半 部 分 会 详细 介绍 NAT 在 华为 设备 中 的 实施 方 
法 ， 其 中 包括 华为 设备 所 能 够 提供 的 NAT 类 型 ， 以 及 与 之 相关 的 配置 命令 。 本 章 会 根据 
每 种 类 型 的 NAT 所 适用 的 环境 ， 提 供 一 个 相关 的 案例 ， 并 展示 这 个 案例 从 配置 到 验证 的 
全 部 内 容 。 

,3 。 掌 握 IPv4 私有 地 址 的 作用 和 范围 ; 
2。 了 解 NAT 的 作用 ; 
iy e 理解 NAT 的 工作 原理 : 
了 》。 掌握 NAT 的 类 型 ; 
。 掌握 NAT 的 基本 配置 ; 
e 掌握 NAPT 的 配置 : 
e 掌握 Easy IP 的 配置 ; 
。 掌握 NAT 服务 器 的 配置 。 
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第 4 和 草 网 络 地 址 转换 


4.1 NAT 原理 


网 络 地 址 转换 (Network Address Translation，NAT) 技术 的 一 种 应 用 场景 是 在 私 
有 IP 地址 和 公 网 IP 地 址 之 间 执 行 转换 ， 在 4. 1. 1 节 中 我 们 会 具体 介绍 NAT 的 这 种 用 法 。 
在 开始 进入 NAT 的 学 习 之 前 ， 我 们 有 必要 先 来 介绍 一 下 私有 IP 地 址 的 概念 。 

在 网 络 的 发 展 过 程 中 ， 最 早 只 有 少数 几 个 互 不 相连 的 独立 网 络 。 后 来 ， 这 些 独立 的 
网 络 连接 在 了 一 起 ,构成 一 个 较 大 的 公共 互联 网 络 ， 并 逐渐 倾向 于 使 用 TCPVIP 架构 。 之 
后 ,使 用 TCP/IP 架构 的 网 络 数 最 直线 上 升 ， 规 模 迅 速 扩充 ， 超 出 了 人 们 的 预期 。 随 着 连 
接 到 这 个 公共 互联 网 络 中 的 网 络 城 来 越 多 ，IPv4 地 址 出 现 了 耗竭 的 迹象 。 

因此 IANA (互联 网 号 码 分 配 机 构 ) 对 地 址 分 配 规划 作出 了 调整 ， 预 入 了 3 个 IP 地 
址 段 用 于 私有 网 络 ， 这 些 地 址 不 能 在 公共 网 络 中 进行 路 由 。 这 使 得 所 有 组 织 机 构 都 可 以 
在 自己 的 私有 网 络 中 ， 通 过 这 些 范围 内 的 IP 地 址 〈 称 为 私有 IP 地 址 ) 来 实现 私有 网 络 
中 的 通信 功能 ， 以 此 达到 复 用 IP 地 址 空间 、 延 组 IP 地 址 消耗 速度 的 目的 。 

IANA 为 私有 网 络 预 留 的 IP 地 址 空间 如 下 所 示 。 

。 10.0. 0.0/8: 包含 的 IP 地 址 范围 是 10. 0. 0. 0 一 10. 255. 255. 255; 

。 172.16. 0. 0/12: 包含 的 IP 地 址 范围 是 172. 16. 0. 0 一 172. 31. 255. 255; 

e。 192. 168. 0. 0/16: 包含 的 IP 地 址 范围 是 192. 168. 0. 0 一 192. 168. 255. 255。 

IPv4 私有 地 址 空间 定义 在 RFC 1918 文档 中 。IPv6 地 址 虽然 没有 耗竭 之 广 ， 但 也 有 
一 部 分 地 址 被 保留 为 私有 地 址 ，IPv6 私有 地 址 定义 在 RFC 4193 中 。 在 这 一 章 中 ， 我 们 
要 讨论 的 只 与 IPv4 地 址 有 关 。 


4.1.1 NAT 的 作用 


网 络 地 址 转换 CNAT) 是 指 把 一 个 IP 地 址 转换 为 另 一 个 IP 地 址 的 做 法 ， 实 施 这 个 
操作 的 设备 通常 是 连接 两 个 不 同 网 络 的 边界 路 由 设备 〈 网 关 ) 。 

相信 很 多 读者 都 有 过 部 闭 家 庭 网 关 路 由 器 的 经 历 : 用 户 癌 本 地 运营 商 申请 宽带 服 
务 , 运营 商工 程 师 上 门 安 状 调 试 , 通过 家 里 的 PC 执行 拨号 后 上 网 。 如 果 家 里 有 多 台 设 备 
-需要 上 网 ， 则 需要 自己 购买 一 台 带 无 线 AP 〈 接 入 点 ) 功能 的 无 线 家 庭 路 由 器 ， 并 让 路 由 
器 来 代替 PC 进行 拨号 。 这 时 ， 如 果 读 者 观察 PC 获得 的 IP 地 址 ， 就 会 发 现 它 使 用 的 其 实 
是 一 个 私有 IP 地 址 ， 而 运营 商 分 配 的 公 网 IP 地 址 是 配置 在 路 由 器 上 的 ， 这 表示 路 由 器 
通过 NAT 技术 ， 实 现 了 私有 IP 地 址 与 公 网 IP 地 址 之 间 的 转换 ， 把 发 往 运营 商 的 数据 包 
源 IP 地 址 都 转换 为 了 运营 商 分 配 的 公 网 IP 地 址 。 
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有 些 厂 商 的 家 庭 路 由 器 管理 界面 中 并 没有 提供 与 NAT 相关 的 配置 选项 ， 这 是 为 了 
简化 配置 并 降低 用 户 误 操 作 的 几率 ， 但 它们 实际 上 都 支持 并 默认 使 用 了 NAT。 
网 络 管理 员 可 以 通过 在 网 关 设 备 上 部 署 NAT 技术 ， 为 整个 使 用 私有 IP 地 址 空间 的 
私有 网 络 提供 一 个 或 多 个 公 网 可 路 由 的 IP 地 址 ， 图 4-1 摘 绘 了 这 种 情景 。 
企业 网 关 路 由 器 ISP 路 由 器 


< 了 7 ws 了 7 
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企业 网 关 路 由 器 
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LAN 















去 $6 | 


SA: 源 卫 地 址 


和 DA : 目的 IP 地 址 ‘ / 


图 4-1 为 上 网 主机 提供 NAT 转换 


NAT 在 执行 网 络 地 址 转换 的 同时 ， 也 会 对 外 隐藏 私有 网 络 内 部 的 地 址 结构 。 于 是 ， 
在 ISP 看 来 , 宽带 用 户 或 组 织 机 构 只 使用 了 自己 分 配 出 去 的 IP 地址 , 而 并 不 知道 宽带 用 
户 实际 使 用 了 几 台 设备 上 网 ， 也 不 会 知道 组 织 机 构 的 内 部 网 络 结构 。 

最 后 再 介绍 NAT 的 另 一 种 常见 应 用 : 当 一 个 企业 的 网 络 需 要 与 合作 伙伴 的 网 络 进行 
部 分 互联 时 ， 为 了 确保 一 定 的 安全 性 ， 管 理 员 可 以 使 用 NAT 技术 对 合作 伙伴 隐藏 目 己 的 
内 部 网 络 结构 ;或 者 在 企业 并 购 后 要 把 多 个 企业 网 络 合并 成 一 个 新 企业 网 络 的 环境 ， 如 
果 合 并 前 的 多 个 网 络 使 用 了 相同 范围 的 私有 IP 地 址 ， 或 者 私有 IP 地 址 有 部 分 重 倒 ， 屠 

么 管理 员 就 可 以 使 用 NAT 技术 作为 捉 接 时 的 过 渡 手 段 ， 优 先 实 现 企业 业务 流量 的 正常 转 
发 。 日 后 在 对 网 络 进行 重新 设计 后 ， 逐 步 实施 旧 网 络 规划 到 新 网 络 规划 的 迁移 ， 图 4-2 
中 描绘 了 这 种 情景 。 | 

在 图 4-2 中 ,企业 网 络 A 和 企业 网 络 B 使 用 的 IP 地 址 空间 都 是 10. 0. 0. 0/24, 现在 
这 两 个 网 络 要 合并 到 一 起 ， 构 成 一 个 完整 的 新 企业 网 络 。 在 不 中 断 业 务 的 前 提 下 ， 管 理 
员 设 计 了 过 渡 方 案 : 把 网 络 A 的 地 址 转换 为 172. 16. 0. 0/24， 把 网 络 B 的 地 址 转换 为 
192. 168. 0. 0/24。 此 后 ， 管 理 员 可 以 重新 设计 企业 网 络 ， 并 逐步 实施 迁移 计划 。 这 种 同 
， 外 称 为 双 问 NAT。 我 们 
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在 本 章 中 只 介绍 基本 的 NAT 应 用 ， 两 次 NAT 的 配置 方法 超出 了 本 书 的 知识 范围 ， 在 本 书 
中 不 作 进 一 步 介 绍 ， 读 者 只 需 了 解 NAT 存在 这 样 一 种 应 用 方法 和 应 用 场景 即 可 。 


企业 网 络 A 企业 网 络 B 
10.0.0.0/24 10.0.0.0/24 


SA: 10.0.0.0/24 SA: 172.16.0.0/24 
DA: 192.168.0.0/24 DA: 10.0.0.0/24 


~ 0 Be {; 
























ER | 1 


SA: 192.168.0.0/24 | SA 1000024 工 
DA: 10.0.0.0/24 DA: 172.16.0.0/24 
上 


SA: 源 IP 地 址 













DA: 目的 他 地 址 
图 4-2 企业 网 络 融 合 的 过 渡 解 决 方案 


4.1.2 NAT 的 工作 原理 


无 论 组 织 机 构 无 法 把 内 部 IP 地 址 用 于 外 部 通信 的 理由 是 什么 〈 或 是 它 所 使 用 的 IP 
地 址 为 私有 地 址 因而 无 法 实现 公 网 中 的 路 由 ;或 是 企业 出 于 隐私 性 考虑 而 不 希望 向 外 部 
网 络 暴露 自己 的 网 络 结构 信息 等 ) ， 企 业 此 时 都 需要 执行 IP 地 址 转换 。 在 实施 了 NAT 
后 ， 不 仅 内 网 主机 使 用 的 私有 IP 地 址 会 被 转换 为 公 网 可 路 由 的 公有 IP 地 班 ， 而 且 外 网 
( 公 网 ) 设备 无 法 主动 向 内 网 主机 发 起 访问 ， 如 果 需 要 外 网 主动 向 内 网 发 起 访问 ， 则 需要 
配置 一 种 特殊 类 型 的 NAT。 在 4.1.2 节 中 ， 我 们 会 介绍 “传统 NAT ”的 工作 原理 ， 其 他 类 
型 的 NAT 会 在 4.1. 3 节 中 进行 介绍 。 

通过 使 用 传统 NAT， 管 理 员 能 够 实现 内 网 主机 向 外 网 主机 发 起 并 建立 会 话 ， 而 主机 
用 户 不 会 体验 到 通信 的 过 程 经 历 了 网 络 地 址 转换 的 操作 。 也 就 是 说 ， 主 机 用 户 不 会 意识 
到 在 与 外 网 主机 进行 通信 时 ， 自 己 主机 的 IP 地 址 发 生 了 变化 。 

如 图 4-1 和 图 4-2 所 描绘 的 场景 所 示 ， 只 有 连接 多 个 网 络 的 边界 路 由 器 上 需要 执行 
网 络 地 址 转换 操作 。 下面 , 我 们 来 详细 介绍 一 下 执行 NAT 的 边界 路 由 器 具体 执行 的 操作 。 

传统 NAT 中 包含 基本 NAT 和 NAPT， 我 们 首先 从 最 简单 的 基本 NAT 说 起 。 

1. 基本 NAT 的 工作 原理 

对 于 使 用 了 私有 IP 地 址 的 内 网 主机 来 说 ， 管 理 员 可 以 通过 手动 配置 ， 把 私有 IP 地 
址 转换 为 全 局 可 路 由 的 〈 公 网 ) IP 地 址 ， 以 此 来 实现 内 网 主机 与 外 网 的 通信 。 如 果 内 网 
中 需要 访问 外 网 的 设备 数量 小 于 或 等 于 公 网 IP 地 址 数量 , 那么 每 个 私有 地 址 都 能 够 被 转 
换 为 一 个 公 网 地 址 ， 如 图 4-3 所 示 环 境 。 否 则 ， 能 够 同时 访问 外 网 的 主机 数量 就 会 受 公 
网 地 址 数量 所 限 ， 导 致 并 不 是 所 有 内 网 主机 都 可 以 同时 访问 外 网 。 对 于 能 够 访问 外 网 的 
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高 级 网 络 技术 


主机 来 说 ， 它 们 可 以 通过 同一 个 “私有 地 址 / 公 网 地 址 ”转换 关系 辣 外 网 发 起 多 个 并 发 
会 话 。 
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图 4-3 基本 NAT 的 操作 


如 图 4-3 所 示 ， 假 设 当前 企业 中 只 有 两 台 主 机 需要 访问 外 网 ， 但 管理 员 考 虑 到 近期 
的 扩展 需求 而 向 ISP 申请 了 4 个 公 网 地 址 。 这 时 管理 员 就 可 以 在 企业 网 关 路 由 器 上 静态 
配置 一 对 一 的 IP 地 址 转换 关系 , 比如 把 PC1 使 用 的 私有 IP 地 址 10. 0. 0. 1/34 转换 为 ISP 
分 配 的 公 网 IP 地 址 123. 119. 122. 1/29, 把 PC2 使 用 的 私有 IP 地 址 10. 0. 0. 2/24 转换 为 
ISP 分 配 的 公 网 IP 地 址 123. 119. 122. 2/29。 : 

下 面 , 我 们 以 图 4-3 中 管理 员 在 企业 网 关 路 由 器 接口 G0/0/1 上 设置 的 NAT 规则 为 例 ， 
介绍 在 需要 执行 IP 地 址 转换 的 环境 中 ， 企 业 网 关 路 由 器 在 转发 数据 包 时 是 如 何 工作 的 。 

(1) PC1 发 出 的 数据 包 : 从 接口 60/0/0 接收 到 PC1 发 来 的 去 往 互 联网 中 某 网 站 
(43. 226. 160. 17) 的 数据 包 ， 根 据 目 的 IP 地 址 查询 IP 路 由 表 , 找到 出 站 接口 60/0/1。 

(2) 根据 出 站 接口 60/0/1 上 定义 的 NAT 规则 ， 确定 PC1 的 IP 地 址 (10. 0. 0.1) 符 
合 需要 转换 的 条 件 ， 并 且 应 被 转换 为 123. 119. 122. 1。” 

(3) 重新 以 源 P 地 址 123. 119. 122. 1 封装 去 往 43. 226. 160. 17 的 数据 包 ， 并 从 
G0/0/1 发 送出 去 。 

(4) 去 往 PCL 的 数据 包 从 接口 60/0/1 接收 到 从 43. 226. 160. 17 发 来 且 去 往 
123. 119. 122. 1 的 数据 包 ， 根 据 60/0/1 接口 上 定义 的 NAT 规则 ， 确 定 这 个 目的 IP 地 址 
123. 119. 122. 1 应 该 被 转换 为 10. 0. 0. 1。 

(5) 根据 转换 后 的 目的 IP 地 址 10. 0.0. 1 查询 IP 路 由 表 ， 找 到 出 站 接口 60/0/0。 

(6) 重新 以 目的 IP 地 址 10. 0. 0. 1 封闭 来 目 43. 226. 160. 17 的 数据 包 ， 并 从 G0/0/0 
发 送出 去 。 


= 06;== 


第 4 章 网 络 地 址 转换 


管理 员 也 可 以 让 路 由 需 目 动 执行 转换 ， 即 当 一 人 台 主 机 发 来 去 往外 网 的 数据 包 时 ， 路 
由 右 在 仍 有 公 网 IP 地 址 可 用 的 前 提 下 , 会 目 动 为 内 部 主机 执行 转换 并 记录 转换 关系 。 当 
所 有 公 网 IP 地 址 都 被 转换 为 茶 个 内 部 主机 的 地 址 后 ， 其 他 内 部 主机 就 无 法 访问 外 网 了 。 
其 他 主机 用 户 只 能 等 竺 已 绑 定 的 NAT 转换 关系 超时 , 有 空闲 的 公 网 IP 地 址 后 ， 路 由 器 才 
能 够 继续 执行 新 的 转换 并 记录 新 的 转换 关系 。 

然而 ， 当 企业 内 部 需要 访问 外 网 的 主机 数量 多 于 企业 向 ISP 申请 的 公 网 IP 地 址 数 
量 时 ， 静 态 配 置 一 对 一 转换 的 方式 就 显然 无 法 满足 所 有 内 部 主机 访问 外 网 的 需求 ， 这 时 
束 需 要 使 用 男 一 种 传统 NAT 技术 一 一 NAPT。 :本 

2，NAPT 的 工作 原理 

NAPT 的 全 称 是 网 络 地 址 辣 内 转换 (Network Address Port Translation) ， 从 这 个 
名 称 我 们 可 以 看 出 ，NAPT 在 网 络 她 址 转换 的 转换 关系 中 添加 了 一 个 因素 一 一 端口 。 这 样 
一 来 , 组 织 机 构 和 个 人 可 以 只 同 ISP 申请 一 个 或 少量 公 网 IP 地 址 , 就 可 以 实现 多 台 主 机 
同时 访问 外 网 的 需求 。NAPT 能 够 把 IP 地 址 和 疹 口 号 这 个 二 元 组 从 “内 部 IP 地 址 ， 内 部 
TCP/UDP 端口 号 ”转换 为 “ 公 网 IP 地 址 ， 公 网 TCP/UDP 端口 号 ”， 如 图 4-4 所 示 。 







企业 网 关 路 由 器 ISP 路 由 器 
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图 4-4 NAPT 的 操作 





以 图 4-4 所 示 环 境 为 例 ， 企 业内 部 使 用 10. 0. 0. 0/24 私有 IP 地 址 范围 ， 企 业 向 ISP 
申请 了 1 个 公 网 IP 地 址 123. 119. 122. 200， 管 理 员 在 企业 网 关 路 由 器 的 60/0/1 接口 上 
实施 了 NAPT。 

下 面 ， 我 们 来 解析 当 PC1 和 PC2 先后 问 外 网 服务 器 43. 226. 160. 17 发 起 Telnet 连 
接 (TCP 端口 23) 时 ， 企 业 网 关 路 由 器 的 转换 行为 。 

(1) PC1 的 数据 包 : 从 接口 60/0/0 接收 到 PC1 发 来 的 源 IP 为 10. 0. 0. 1、 源 端口 
为 3017、 目 的 IP 为 43.226.160.17、 目 的 新 口 为 23 的 数据 包 后 ， 查 询 路 由 表 找 到 出 站 
接口 60/0/1。 

(2) 根据 出 站 接口 60/0/1 上 定义 的 NAPT， 把 PC1 数据 包 的 源 IP: 源 端口 转换 为 
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123. 119. 122. 200:1024， 并 在 NAT 转换 表 中 记录 这 条 转换 规则 。 显 然 ， 转 换 之 前 的 内 部 
源 端 口 的 取 值 是 由 PC1 决定 的 ， 但 转换 后 的 公 网 源 端 口 是 由 执行 网 络 地 址 转换 的 路 由 器 
决定 的 ， 路 由 器 会 选取 当前 未 转换 出 去 的 端口 来 使 用 。 

(3) 重新 以 源 IP: 源 端口 123. 119. 122. 200: 1024 封装 去 往 43. 226. 160. 17: 23 的 数 
据 包 ， 并 从 G60/0/1 发 送出 去 。 

(4) PC2 的 数据 包 : 从 接口 60/0/0 收 到 PC2 发 来 的 源 IP: 源 端口 为 10.0.0.2:3017、 
目的 IP: 目 的 端口 为 43. 226. 160. 17:23 的 数据 包 后 ， 得 询 路 由 表 找 到 出 站 接口 60/0/1。 

(5) 根据 出 站 接口 60/0/1 上 定义 的 NAPT， 把 PC2 数据 包 的 源 IP: 源 端口 转换 为 
123. 119. 122. 200:1025， 并 在 NAT 转换 表 中 记录 这 条 转换 规则 。 在 本 例 中 ， 我 们 为 了 说 
明 即 使 多 台 内 部 主机 选择 使 用 了 相同 的 源 端 口号 , NAPT 也 能 够 为 它们 建立 唯一 的 转换 关 
系 ， 所 以 假设 PC1 和 PC2 都 恰好 选取 了 相同 的 源 端 口 来 建立 Telnet 会 话 。 

(6) 重新 以 源 IP: 源 端口 123. 119. 122. 200:1025 封装 去 往 43. 226. 160. 17:23 的 数 
据 包 ， 并 从 G0/0/1 发 送出 去 。 

NAPT 只 支持 从 内 部 主机 向 外 部 发 起 TCP/UDPP 会 话 , 无 法 支持 那些 需要 从 外 部 向 企业 . 
内 部 发 起 会 话 的 应 用 。 如 果 企 业 中 有 从 外 部 同 内 部 发 起 访问 的 需求 ， 管 理 员 就 需要 在 企 
业 网 关 路 由 顺 上 部 普 其 他 类 型 的 NAT (NAT 服务 需 功 能 ) 。 在 4.1.3 节 中 , 我们 会 介绍 包 
含 NAT 服务 器 功能 在 内 的 华为 设备 上 能 够 实现 的 NAT 类 型 。 \ 


4.1.3 NAT 的 类 型 


NAT 在 华为 设备 中 的 实现 方法 主要 包括 : 静态 NAT/NAPT、Easy IP 和 NAT 服务 器 。 
无 论 哪 种 类 型 的 NAT 实现 方法 ， 都 要 遵循 护 们 在 4. 1. 2 节 介绍 的 NAT 工作 原理 。 在 4.2 
节 介 绍 具体 的 配置 命令 和 验证 方法 前 ， 我 们 先 通过 4. 1. 3 节 介 绍 一 下 不 同类 型 NAT 的 适 
用 环境 。 

1. 静态 NAT/NAPT r 

静态 NAT 的 实现 方法 是 当 管 理 员 配置 NAT 转换 时 ， 寡 把 内 网 中 一 个 主机 的 私有 IP 
地 址 与 一 个 公 网 IP 地 址 相 绑 定 。 也 就 是 说 ， 在 静态 NAT 中 ， 公 网 IP 地 址 只 会 被 转换 给 
唯一 且 固定 的 内 网 主机 , 实现 一 奖 二 的 转换 关系 。 这 种 方式 无 法 通过 一 个 公 网 IP 地 址 为 
内 网 中 的 多 台 主 机 同时 提供 外 网 连接 ， 因 此 在 实际 使 用 中 比较 少见 。 

静态 NAPT 的 实现 方法 是 把 二 元 组 “内 部 网 络 主机 的 IP+ 端 口号 ”以 及 “ 公 网 IP+ 端 
口号 ”执行 一 对 一 绑 定 。 从 这 种 绑 定 关系 我 们 就 可 以 看 出 ， 如 果 执 行 静态 NAPT， 那 么 一 
个 公 网 IP 地 址 可 以 同时 为 多 个 私有 IP 地 址 提供 外 网 连接 。 

除 此 之 外 ， 静 态 NAT/NAPT 还 可 以 把 一 个 私有 IP 地 址 范围 与 一 个 公 网 IP 地 址 范围 
进行 绑 定 。 当 内 部 主机 访问 外 网 主机 时 ， 如 条 内 网 主机 使 用 的 IP 地 址 包含 在 管理 员 指 定 
的 私有 IP 地 址 范围 内 ， 路 由 器 就 会 把 这 个 地 址 转换 为 对 应 的 公 网 IP 地 址 。 
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2，Easy IP 
Easy IP 可 以 在 拨号 上 网 的 环境 中 ， 使 所 有 内 网 用 户 都 通过 ISP 分 配 的 同一 个 公 网 IP 
地 址 连接 互联 网 。 这 种 类 型 与 NAPT 的 区 别 在 于 ， 通过 拨号 上 网 获得 的 公 网 IP 地 址 是 临时 
的 ， 往 往 每 次 拨号 都 会 获得 不 同 的 公 网 IP 地 址 。 如 时 使 用 Easy IP， 路 由 器 在 拨号 成 功 并 
获得 公 网 IP 地 址 后 ， 会 自动 把 这 个 公 网 IP 地 址 应 用 为 转换 后 的 IP 地 址 ， 无 需 管理 员 进 行 
更 多 的 操作 。 这 种 方式 适合 在 小 型 局 域 网 中 进行 部 天 ， 为 小 型 局 域 网 提供 上 网 服务 ， 比 如 小 
型 办 公 室 或 中 小 型 网 吧 。 这 种 环境 的 特点 是 内 部 主机 的 数量 较 少 , 出 站 接口 需要 通过 拨号 的 
方式 获得 ISP 分 配 的 临时 公 网 IP 地 址 ,所 有 内 网 主机 都 需要 使 用 这 个 临时 公 网 IP 地 址 来 访 
问 互联 网 。 管理 员 可 以 在 Easy IP 的 配置 中 应 用 ACL (访问 控制 列表 ) ， 来 指定 能 够 进行 NAT 
转换 以 访问 互联 网 的 私有 IP 地 址 范围 。 图 45 中 描绘 了 Easy IP 的 操作 。 
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入 向 123.119.122 .200:1024 10.0.0.1:3017 
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入 向 123.119.122.200:1025 10.0.0.2:3017 


图 4-5 Easy IP 的 操作 





图 4-5 延续 使 用 了 图 4-4 中 的 IP 地 址 示例 。 但 为 了 简洁 起 见 ， 我 们 没有 标注 外 网 
主机 的 IP 地 址 ， 只 标明 了 需要 进行 NAT 转换 的 私有 IP 地 址 以 及 转换 后 的 公 网 IP 地 址 。 
Easy IP 对 于 数据 包 的 处 理 方式 如 下 。 

(1) 企业 网 关 路 由 器 接收 到 了 内 网 主机 (比如 PC1) 访问 外 网 主机 的 数据 包 ， 源 地 
址 为 10; 0.0. 1， 端 口号 为 3017。 

(2) 企业 网 关 路 由 器 根据 ISP 分 配 的 公 网 IP 地 址 ， 把 内 部 主机 使 用 的 私有 “ 源 IP 
地 址 + 源 端口 号 ”转换 为 公 网 “ 源 IP 地 址 + 源 端 口号 ”, 并 把 NAT 转换 关系 记录 在 Easy IP 
转换 表 中 。 路 由 器 在 收 到 出 向 (PC1 发 往外 部 主机 ) 的 数据 包 时 ， 会 正 同 查找 Easy IP 
表 条 目 ， 把 数据 包 的 源 IP 地 址 + 源 端口 号 转换 为 123. 119. 122. 200:1024 并 发 送出 去 。 
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(3) 企业 网 关 路 由 器 在 接收 到 入 站 《外 部 主机 响应 PC1) 的 数据 包 时 , 会 肥 癌 查找 Easy 
IP 表 条 目 ， 把 数据 包 的 目的 IP 地址 + 目的 端口 号 转换 为 10. 0. 0. 1:3017 并 发 送 给 PC1。 

3. NAT 服务 器 

由 于 NAT 具有 隐藏 内 部 IP 地 址 结构 的 功能 ， 一 般 情况 下 外 网 主机 无 法 主动 访问 内 
网 主机 ， 但 有 时 企业 又 需要 使 用 内 网 服务 器 对 外 网 主机 提供 特定 服务 ， 这 时 管理 员 可 以 
使 用 称 为 NAT 服务 器 (NAT Server) 的 实现 方法 ， 使 内 网 服务 器 不 被 屏蔽 ， 以 便 外 网 用 
户 能 够 随时 主动 访问 内 网 服务 器 。 

在 使 用 NAT 服务 器 时 ， 管 理 员 要 事先 配置 好 转换 关系 ， 也 就 是 公 网 “IP 地 址 + 端口 号 ” 
和 私有 “IP 地 址 + 端口 号 ”之 间 的 转换 ， 把 需要 向 外 网 提供 服务 的 服务 器 公 网 “IP 地 址 + 端 
口号 ”转换 为 这 人 台 服 务 器 的 私有 “TIP 地 址 + 端口 号 ”。 图 4-6 中 描绘 了 NAT 服务 器 的 操作 。 
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图 4-6 NAT 服务 器 的 操作 = 
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图 4-6 延 用 了 图 4-4 中 的 私有 IP 地 址 范围 和 公 网 IP 地 址 示例 。 但 为 了 简洁 起 见 ， 
我 们 没有 标注 外 网 主机 的 IP 地 址 ， 只 标明 了 需要 进行 NAT 转换 的 网 页 服务 器 私有 IP 地 
址 以 及 转换 后 的 公 网 IP 地 址 。NAT 服务 器 对 于 数据 包 的 处 理 方式 如 下 。 

(1) 管理 员 需 要 事先 在 企业 网 关 路 由 器 上 配置 NAT 服务 器 的 转换 条 目 。 

(2) 企业 网 关 路 由 器 在 接收 到 《〈 公 网 用 户主 动 发 起 的 ) 入 站 数据 包 时 ， 会 根据 公 网 
用 户 希 望 访问 的 公 网 “IP 地 址 + 端口 号 ”来 查找 NAT 服务 器 转换 表 条 目 ， 找 到 它 所 对 应 
的 私有 “IP 地 址 + 站 口 号 ”， 疮 根据 查找 结果 对 入 向 数据 包 的 目的 “IP 地 址 + 端口 号 ” 进 
行 转 换 。 在 本 例 中 ， 外 网 主机 发 送 的 数据 包 目 的 “IP 地 址 + 端口 号 ”是 
123. 119. 122. 200:80， 转 换 后 的 私有 “IP 地 址 + 端口 号 ”是 10. 0. 0. 10:80。 

(3) 企业 网 关 路 由 器 在 接收 到 内 部 网 页 服务 器 的 响应 数据 包 后 ， 会 根据 这 个 数据 包 
的 源 “IP 地 址 + 端口 号 ”查找 NAT 服务 器 转换 表 条 目 ， 找 到 它 所 对 应 的 公 网 “IP 地 址 + 
闸口 号 ”， 并 根据 查找 结果 对 出 站 数据 包 的 源 “IP 地 址 + 端口 号 ”进行 转换 。 在 本 例 中 ， 
内 网 网 页 服务 器 响应 的 数据 包 源 “IP 地 址 + 端口 号 ”是 10. 0. 0. 10:80, 转换 后 的 公 网 “IP 
地 址 + 端口 号 ”是 123. 119. 122. 200:80。 
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在 4.1 节 中 , 我 们 对 NAT 的 作用 、 工作 原理 和 实现 方式 进行 了 理论 上 的 介绍 。 在 4.2 
节 中 ， 我 们 会 对 如 何在 华为 设备 上 配置 和 查看 这 些 NAT 技术 进行 演示 和 说 明 。 


4.2 配置 NAT 


截止 到 2011 年 2 月 3 日 ， 互 联网 数字 分 配 机 构 (IANA》 所 维护 的 互联 网 主 地 址 池 已 
经 彻底 耗 尽 。 此后， 亚太 网 络 信息 中 心 (APNIC) 首当其冲 分 配 出 去 了 剩余 的 IPv4 地 址 段 ， 
其 他 各 个 区 域 互 联网 注册 机 构 CRIR) 也 纷纷 耗 尽 了 自己 负责 分 配 的 IPv4 地 址 资源 。 这 意 
味 着 没有 获得 足够 IPv4 地 址 资源 购 组 织 机 构 在 构建 目 己 的 局 域 网 时 , 部 难免 需要 使 用 RFC 
1918 文档 中 保留 的 私有 IP 地 址 空间 , 并 且 在 连接 到 互联 网 时 通过 NAT 执行 IP 地 址 转换 把 
私有 IP 地 址 转换 为 全 局 可 路 由 的 公 网 IP 地 址 。 在 这 样 的 大 背景 下 ,掌握 NAT 的 配置 方法 
显得 格外 重要 ， 因 为 几乎 所 有 网 络 技术 人 员 在 工作 中 都 少不了 要 与 NAT 打交道 。 

华为 路 由 器 提供 了 多 种 NAT 实现 方式 ， 读 者 可 以 按照 4. 1.3 节 (NAT 的 类 型 ) 中 介 
绍 的 NAT 实现 方法 和 适用 环境 ， 根 据 自 己 的 需求 来 选择 应 用 哪 种 类 型 的 NAT。 在 4.2 节 
中 ， 我 们 会 逐个 介绍 每 种 NAT 实现 方法 的 基本 配置 和 验证 方法 。 


4.2.1 配置 基本 NAT 


基本 NAT 实现 的 是 IP 地 址 一 对 一 转换 关系 ， 因 此 配置 基本 NAT 只 需要 一 条 命令 : 
把 私有 IP 地 址 转换 为 公 网 IP 地 址 。 在 命令 中 ， 关 键 字 inside (内 部 ) 指 的 是 私有 IP 
地 址 ， 关 键 字 global (全 局 ) 指 的 是 公 网 IP 地 址 。 这 是 一 个 接口 视图 的 命令 ， 句 法 为 
nat static global 8g7opa7-adoress inside host-address。 图 4-7 展示 了 本 例 使 用 的 
简单 网 络 环境 ， 我 们 需要 在 路 由 器 GW-AR1 上 配置 这 条 命令 。 


bE GW-ARI ISP 路 由 器 


202.108.0.2/24 g 













人 pr “vw internet 


10.0.0.1/24 202.108.0.1/24 


10.0.0.10/24 


图 4-7 配置 基本 NAT 的 网 络 环境 


在 本 例 所 示 环 境 中 ， 内 网 中 只 有 一 台 PC 能 够 访问 互联 网 ， 它 的 私有 IP 地 址 是 
“10. 0.0. 10/24, 网关 IP 地 址 是 10. 0. 0. 1/24。 作 为 网 关 的 路 由 器 GW-AR1， 一 边 通过 接口 
G0/0/1 连接 内 网 ， 使 用 私有 IP 地 址 10. 0. 0. 1/24; 一 边 通 过 接口 60/070 连接 I SP， 使 
用 固定 公 网 IP 地 址 202. 108.0.1/24。ISP 侧 连接 GW-ARL 的 接口 卫 地 址 为 
202. 108. 0. 2/24。 现 在 管理 员 要 在 GW-AR1 上 把 上 网 PC 的 私有 IP 地 址 10. 0. 0. 10 静态 转 
换 为 公 网 IP 地 址 202. 108. 0. 3， 让 PC 能 够 通过 这 个 公 网 IP 地 址 访问 互联 网 。 例 4-1 中 


= 
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展示 了 GW-AR1 上 的 全 部 配置 命令 。 

例 4-1 在 GW-AR1 上 配置 基本 NAT 

<Huawei>system-view 

[Huawei|sysname GW-ARI] 

[GW=ARl1 | interface gigabitethernet 0/0/1 

[GW-AR1l-GigabitEthernet0/0/1]ip address 10.0.0.1 255. 255. 255. 0 

[GW-AR1-GigabitEthernet0/0/1]aquit 

[GW-AR1] interface gigabitethernet 0/0/0 

[GW-AR1-GigabitEthernet0/0/0]ip address 202. 108. 0.1 255. 255. 255. 0 

[GW-AR1-GigabitEthernet0/0/0]nat static global 202. 108.0.3 inside 10.0.0. 10 

[GW=ARl1-GigabitEthernet0/0/0]quit 

[GW=-AR1jip route-static 0.0.0.0 0.0.0.0 202. 108. 0.2 

在 例 4-1 所 示 配 置 中 ， 我 们 展示 了 完成 这 个 案例 所 需 的 所 有 配置 命令 。 除 了 常规 的 
接口 IP 地 址 配置 外 ， 命 令 展示 中 的 最 后 一 条 命令 指定 了 一 条 默认 路 由 ， 以 202. 108. 0. 2 
为 下 一 跳 IP 地 址 ， 这 也 是 网 关 路 由 器 上 的 常见 配置 。 这 个 配置 案例 中 的 重点 命令 是 
G0/0/0 接口 视图 下 的 第 2 条 nat 命令 ， 从 这 条 命令 中 我 们 可 以 看 出 ， 管 理 员 在 公 网 IP 
地 址 202. 108. 0. 3 和 私有 IP 地 址 10. 0. 0. 10 之 间 进 行 了 转换 。 例 4-2 使 用 display nat 
static 命令 查看 了 GW-AR1 上 的 静态 NAT 配置 。 

例 4-2 ”查看 GW-AR1 上 的 静态 NAT 配置 

[GW-ARlldisplay nat static 

Static Nat lnformation: 
Interface : GigabitEthernet0/0/0 


GobBl 1p7Port 、 202. 108. 0 所 一 - 
Insidd Tp/port 0. 0 
Protocol 一 = 一 一 


VPN instance-name ”一 一 一 


Acl number a 后 
Netmask .255>255. 255:5 255 吕 
Description :; ———— 
Total™* 1 到: 
[GW-AR1] 


从 这 条 命令 的 输出 信息 中 我 们 可 以 看 出 ，6G0/0/0 接口 下 有 一 对 转换 关系 : 公 网 IP 
地 址 202. 108. 0.3 和 内 部 IP 地 址 10. 0. 0. 10 之 间 的 转换 。 除 此 之 外 ,我 们 还 可 以 了 解 到 ， 
静态 NAT 的 配置 中 还 可 以 设置 端口 号 、 指 定 具 体 协 议 、 应 用 ACL， 以 及 添加 描述 信息 。 
4.2. 1 市 开篇 展示 的 静态 NAT 命令 句法 中 省 略 了 配置 这 些 内 容 的 关键 字 和 参数 信息 ， 对 
命令 的 完整 句法 感 兴 趣 的 读者 可 以 参考 华为 设备 的 产品 文档 或 命令 参考 。 

例 4-3 验证 了 上 网 PC 与 ISP 路 由 器 之 间 的 连通 性 ， 管 理 员 在 PC 上 发 起 ping 命令 ， 
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测试 PC 与 202. 108. 0.2 之 间 的 连通 性 。 
例 4-3 在 上 网 PC 上 测试 联网 结果 
PC>ping 202. 108. 0. 2 


Ping 202. 108. 0.2: 32 data bytes, Press Ctrl C to break 
From 202. 108. 0. 2: bytes=32 Seq=l ttl=127 time=3] ms 
From 202. 108. 0. 2: bytes=32 segq=2 ttl=127 time<l ms 

From 202. 108.0. 2: bytes=32 seq=3 ttl=127 tim8<l] ms 

From 202. 108.0.2: bytes=32. seq=4 ttl=127 time=16 ms :> 唱 
From 202. 108. 0. 27 bytes=32 seq=5 ttl=127 time<1 ms 

= 2, QB 0 a nine statietle 一 一 


4 


5 packet(s) transmitted * 

5 packet(s) received 

0. 00% packet loss 

round-trip min/avg/max = 0/9/31 ms | 


PE> 

例 4-3 展示 的 测试 结果 显示 测试 成 功 。 但 GW-AR1 是 否 执行 了 NAT 转换 呢 ? 我 们 分 
别 在 GW-AR1 的 G0/0/1 和 607070 接口 上 设置 了 抓 包 , 图 4-8 和 图 4-9 分 别 展 下 了) 这 两 个 
接口 的 抓 包 信息 。 





四 Capturing from Standard input - Wireshark 一 
Ele Edit View Go Capture Analyze Statistics: Telephony Tools Help 
如 宙 灶 全 六 | 及 国 守 史 太 | 人 人 贫 记 辆 办 是 | 回国 | QQ 四 | 靖国 阳 汪 | 名 


Filter: "” Expression... Clear Apply 






Destination Protocol Info 


10.0.0. 0 





mFrame 3: 74 bytes on wire (592 i 74 bytes captured (592 bits) 
a Ethernet II, Src: HuaweiTe 6a:72;32 (54:;89:98:6a:72:32), Dst; HuaweiTe 76:45:88 (00:e0:fce:7 
Internet Protocol, src: 10.0.0,10 (10.0.0.10), Dst: 202.108.0.2 (202.108.0.2) 
Version: 4 
Header length: 20 bytes 
Differentiated Services Field: Ox00 (DSCP Ox00: Default; ECN: Ox00) 
Total Length: 60 
Identification: Ox8Qce (32974) 
Flags: Ox02 (Don't Fragment) 
Fragment offset: 0 
Time to live:; 128 
Protocol: ICMP (1) 
Header checksum: Oxa57a [correct] 

Source: 10.0.0.10 (10.0.0.10) 

Destination: 202.108.0.2 (202.108.0.2) 
Internet Control Message Protoco] 


EE 


| 他 





0020 00 02 08 00 b7 fb ce 80 00 02 0 Va CR 
0030 ‘Oe Of 10 11 12 13 14 15 16 17 18 19 1a 1b 由 
0040 1e if 20 21 22 23 24 25 26 27 .1"#$% &' v 
加 Source (ip.sro), 4 bytes Packets: 10 Displayed: 10 Marked: 0 | profile: Default | 


图 48 GW-AR1 内 网 接口 60/0/1 的 抓 包 
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从 图 4-8 所 示 G0/0/1 接口 的 抓 包 中 我 们 可 以 看 出 ，GW-AR1 从 PC 那里 收 到 了 从 
10. 0. 0. 10 发 往 202. 108. 0. 2 的 Echo Request 消息 , 同时 GW-AR1 还 向 PC 转发 了 从 202. 
108. 0. 2 发 往 10. 0. 0. 10 的 Echo Reply 消息 。 


加 Capturing from Standard input - Wireshark = 口吃, 划 
File Edit View Go Gapture Analyze Statistics Telephony Tools Heip 
酶 页 和 人 | 相 轩 区 志 虽 | 太 训 衬 二 本 [加 加 | 色 尽 有 加 1 而 国 到 关 | 台 


Filter: ” Expression... Clear Apply 

No. Time SOUrce Destination Protocol 和 
10.000000 202:108-0.3 ”202.108.0.2 -一 (ping) _ request (id=0x 
2 0.000000 202:108-0.:2 202.108.0.3 Eee ping) reply (id=0x 
000 20208i3053 7 = 00 02 ee EC OD We C0 
#1.016000 202.,108.0.2 202.108.0.3 ICMP Echo (ping)} reply (id=0x: 
5 2-031000 202.108-0.3 ~ 202.108.0.2 ICMP Echo (ping) Ca 《jd=0x 
6 2.031000 0 108-. 0.2 2 六 : EN 108.0.3 ET -IP Echo (ping) reply (id=0x, ~ 


: i > 
" Frame 47 74 bytes on wire (592 本 74 bytes captured (592 bits) 
HEthernet II，Src: HuaweiTe_68:07:;2d (54:;89:98:68:07:2d), Dst: HuaweiTe 76:45:87 (00:e0:fc:7' 
= Internet Protocol, Src: 202.108.0.2 (202.108.0.2), Dst: 202.108.0.3 (202.108.0,3) 
| version: 4 
Header length: 20 bytes 
: Differentiated Services Field: Ox00 (DSCP Ox00: Default; ECN: 0x00) 
Total Length: 60 
Identification: Ox80ce (32974) 
HFlags: Ox02 (Don't Fragment) 
Fragment offset: 0 
Time to live: 128 
protocol: ICMP (1) 
Header checksum: Oxe514 [correct] 
Source: 202.108.0.2 (202.108.0.2) 
Destination: 202.108.0.3 (202.108.0.3) 
1 Internet Control Message Protocol 


0010 一 00 3c 80 40 00 80 01 e5 14 ca 6Cc 00 02 Sn $ 人 
0D020 量 00 00 bf fb ce 80 00 02 08 09 0a Ob Oc i 

0030 0e 10 11 2 3 14 35" Hol T8133 Be ara cm oi J 
0040 1e 1f 20 21 22 23 24 25 26 27 -。 。 1 "大 各 及 “vy 
© Destination (ip.dst), 4 bytes packets: 10 Displayed: 10 Marked: 0 Profile: Defauft 


4-9 GW-AR1 公 网 接口 60/0/0 的 抓 包 


从 图 4-9 所 示 G0/0/0 诡 日 前 抓 起 中 我 们 可 以 痢 且 ， GW-AR1 问 ISP 路 由 器 发 送 了 从 
202. 108. 0. 3 发 往 202. 108. 0. 2 的 Echo Request 消息 ， 同 时 GW-AR1 还 从 ISP 路 由 器 那 
里 收 到 了 从 202. 108. 0. 2 发 往 202. 108. 0. 3 的 Echo Reply 消息 。 

从 ISP 路 由 器 看 来 ， 它 并 不 知道 10. 0. 0. 10， 而 只 知道 自己 分 配 出 去 的 公 网 IP 地 址 
202. 108. 0.3。 由 此 也 可 以 验证 NAT 向 外 隐藏 内 部 IP 规划 的 效果 。 


4.2.2 配置 NAPT =. 


NAPT 能 够 在 内 网 和 外 网 IP 地 址 的 转换 关系 中 添加 端口 号 ， 也 就 是 记录 二 元 组 “TIP 
地 址 + 端口 号 ”的 转换 关系 ， 使 内 网 的 多 人 台 主 机 可 以 使 用 一 个 或 少数 几 个 公 网 IP 地 址 连 
接 互 联网 。 在 配置 中 ， 管 理 员 需 要 使 用 ACL 来 指定 私有 IP 地 址 范围 ， 还 要 使 用 地 址 组 
ed 配置 命令 来 指定 一 个 连续 的 公 网 IP 地 址 范围 。 最 后 在 连接 ISP 的 接口 

.， 把 定义 了 私有 IP 地 址 的 ACL 和 定义 了 公 网 IP 地 址 的 地 址 组 关联 起 来 。 图 4-10 展示 
eg | 使 用 的 网 络 环境 ， 我 们 需要 在 路 由 器 GW-AR1 上 配置 这 些 命令 。 


一 114 一 
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VLAN 10 






10.0.10.1/24 
GO/0/1 | GW-ARI 3P 站 内 六 
- A 202.108.0.2/24 本 。YC2 
Bp GO/0/0 
pi GO/0/2 202.108.0.1/24 
0 10.0.20.1/24 Internet 


人 VLAN 20 
10.0.20.20/24 
1 


图 4-10 配置 NAPT 的 网 络 环境 


在 本 例 所 示 环 境 中 ， 内 网 分 钨 两 个 VLAN (VLAN 10 和 VLAN 20) ，VLAN 10 中 主机 


使 用 的 IP 地 址 范围 是 10. 0. 10. 0/24, 网 关 地 址 是 10. 0. 10. 1; VLAN 20 中 主机 使 用 的 IP 
地 址 范围 是 10. 0. 20. 0/24， 网 关 地 址 是 10. 0. 20. 1。 作 为 网 关 的 路 由 器 GW-AR1， 一 边 通 
过 接口 G60/0/1 和 6070/2 分 别 连接 内 网 中 的 两 个 VLAN， 这 两 个 接口 上 分 别 配 置 了 IP 地 
址 10. 0.10.1/24 和 10.0.20.1/24， 一边 通过 接口 60/0/0 连接 I SP， 使 用 固定 公 网 IP 
地 址 202. 108. 0. 1/24。ISP 侧 连 接 G6W-AR1 的 接口 IP 地 址 为 202. 108. 0. 2/24。ISP 为 这 
个 网 络 分 配 了 4 个 可 用 的 公 网 IP 地 址 : 202. 108. 0. 3 一 202. 108. 0. 6。 现在 管理 员 要 把 前 
两 个 公 网 ;IP 地 址 分 给 YLAN 10 的 用 户 ， 把 后 两 个 分 给 VLAN 20 的 用 户 。 例 4-4 中 展示 了 
GW-AR1 上 与 NAPT 相关 的 配置 命令 。 


例 4-4 在 GW-AR1 上 配置 NAPT 


[GW-ARllacl 2010 | 

[GW-AR1-acl-basic-2010]rule permit SO JQ:0: 00 .0 O0235 
~ EGW-AR1-acl-basic-2010]quit 

[GW-AR1]acl 2020 

[GW-AR1-acl-basic-2020]jrule permit source 10.0.20.0 0. 0. 0. 255 
[GW=AR1-acl-basic-2020]quit 

[GW-AR1ljnat address-group 1 202. 108. 0. 3 202. 108. 0. 4 
[GW=ARllnat address-group 2 202. 108. 0.5 202. 108. 0.6 
[GW=ARl | interface g0/0/0 

[GW-AR1-GigabitEthernet0/0/0]nat outbound 2010 address-group 1 
[GW=AR1l-GigabitEthernet0/0/0lnat outbound 2020 address-group 2 


例 4-4 中 只 展示 了 NAPT 的 相关 配置 ,有 关 IP 地 址 和 默认 路 由 的 配置 信息 不 再 展示 ， 





相信 读者 能 够 凭借 到 目前 为 止 我 们 已 经 学 习 过 的 内 容 ， 上 月 已 搭建 这 个 价 单 的 网 络 环境 。 
下 面 我 们 来 说 说 NAPT 的 配置 。 


(1) 在 ACL 中 指定 私有 IP 地 址 沁 有 前 
管理 员 可 以 使 用 基本 ACL 来 指定 私有 IP 地 址 范围 。 命 令 句 法 不 再 解释 ， 本 例 一 开始 就 使 


用 ACL 2010 指定 了 VLAN 10 的 IP 地 址 空 | 旧 ， 使 用 ACL 2020 指定 了 VLAN 20 的 IP 地 址 罕 间 。 
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(2) 在 NAT 地 址 组 中 指定 公 网 IP 地 址 范围 

管理 员 可 以 使 用 系统 视图 命令 nat address-group group-index start-address 
end-address 来 指定 公 网 IP 地 址 范围 。 其 中 group-index 是 地 址 组 的 编号 ， 这 个 编号 的 
取 值 范围 会 根据 不 同 的 设备 平台 而 有 所 不 同 , 管理 员 在 配置 时 ， 可 以 使 用 问号 (?) 功能 
丛 看 设备 所 文 持 的 编号 范围 ， 也 可 以 奋 询 产品 手册 和 命令 参考 文档 来 确定 取 值 范围 。 
start-address end-address 是 管理 员 要 指定 的 IP 地 址 范围 中 的 第 一 个 和 最 后 一 个 IP 
地 址 。 本 例 中 配置 的 相关 命令 就 分 别 指定 了 两 个 NAT 地 址 组 ， 编 号 分 别 选 择 了 1 和 2， 
并 按照 前 文中 提出 的 需求 ， 把 这 4 个 公 网 IP 地 址 两 两 分 为 一 组 。 

(3) 在 接口 上 使 用 出 向 NAT 绑 定 转换 关系 

常理 员 需 要 在 连接 外 网 〈 本 例 中 是 连接 ISP) 的 接口 上 使 用 接口 视图 命令 nat 
outbound ac7-numberaddress-group group-index, 绑 定 NAT 转换 关系 ,参数 ac]-number 
部 分 需要 和 输入 管理 员 之 前 创建 的 基本 ACL， 参 数 group-index 部 分 需要 输入 NAT 地 址 组 
编写 ， 这 样 束 可 以 通过 一 条 命令 建立 一 个 转换 关系 。 本 例 中 管理 员 使 用 了 两 条 命令 创建 
两 个 转换 关系 。 


注 粹 : 


ACL 和 NAT 地 址 组 都 征 只 有 在 应 用 后 才 会 生效 的 配置 ， 因 此 步骤 飞 和 步骤 2 的 顺 
序 可 以 互 换 。 


接 下 来 我 们 通过 命令 先 查 看 一 下 NAT 地 址 组 的 配置 ， 见 例 4-5 所 示 。 
例 4-5 查看 GW-AR1 上 的 NAT 地 址 组 配置 
[GW-ARl ldisplay nat address-group | 


NAT Address-Group Information: 


-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Index Start-address End-address 交 
TE a eh 
1 202, L080 202. 108. 0. 4 

2 ' 202. 108. 0.5 :202. 108. 0.6 

Total'ss: 2 
[GW-AR1] 


例 4-5 中 使 用 命令 display nat address-group 查看 了 GW-AR1 上 的 NAT 地 址 组 配 
置 。 从 命令 的 输出 内 容 中 我 们 可 以 看 出 ，GW-AR1 上 配置 了 两 个 NAT 地 址 组 ， 编 号 、 起 始 
地 址 和 结束 地 址 都 清晰 地 以 列表 的 形式 列 出 。 管 理 员 还 可 以 使 用 命令 来 查看 NAPT 的 应 用 
配置 ， 见 例 4-6 所 示 。 


= 116 一 


例 4-6 查看 GW-AR1 上 的 出 向 NAPT 配置 


[GW-ARl display nat outbound 


NAT OQutbound Information: 


第 4 章 


网 络 地 址 转换 


一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Interface 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


GigabitEthernet0/0/0 
GigabitEthernet0/0/0 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


ot 过 党 
[GW-AR1 


Acl Address-groupVYIP/Interface 
2010 1 
2020 Vw 


pat 


例 4-6 中 所 示 命 令 pe, nat outbound 可 以 用 来 查看 出 问 NAT 的 转换 关系 。 从 
本 例 的 命令 输出 内 容 中 我 们 可 以 大 出 , 60/0/0 接口 上 有 两 个 NAT 出 向 转换 关系 , Type (类 
型 ) 都 是 pat。 类 型 pat 指 的 是 启用 端口 转换 功能 ， 这 也 是 NAPT 的 默认 配置 。 管 理 员 也 


可 以 在 接口 视图 的 命令 


关键 字 no-pat， 来 为 某 个 NAT 转换 关系 禁用 端 所 转换 功能 。 


接着 ， 我 们 仍 通过 


nat outbound ac7-”"Zzper address-group group-index 中 添加 


ping 功能 来 测试 内 网 主机 与 ISP 路 由 器 之 间 的 连通 性 和 地 址 转 


换 效果 , 在 GW-ARI1 的 三 个 接口 上 分 别 开 局 抓 包 功 能 ,图 4 11 和 图 412 分 列 展 示 了 内 网 
接口 (60/0/1 和 G0/0/2) 的 抓 包 截图 。 


四 Capturing from Standard input - Wireshark 
File Edit View Go Eapture Analyze Statistics Telephony Iools Help 


可 涡 本 和 


Filter: 

Ee Time Source 
.6.3.063000 10.0.10.10 
73.078000 202.108. 0. 2 








8 4. 078000 10.0.10.10 


以 申 中 国 置 入 画 | 男 | 令 扩 肥 回 | 硬 国 


~ Expression... Clear Apply 


Destination 


protocol info 












ICMP 
IC™MP 


i Frame 8: 74 bytes on wire (592 bits), 74 i captured (592 bits) 


bt IT, Src: HuaweiTe_7d:43:84 (54:89:;98:7d:43:84), Dst: HuaweiTe_59:04:69 (00:e0:fc: 5 


劳 | 刀 






Echo Cping) reauest _Cid- eee 


= Internet protoco1 ， src: 10.0.10.10 (30.0.10.10), Dst: 202 08;,0.2 (202.108.0.2) 


Version: 4 
Header Tength: 20 bytes 


» Differentiated Services Field: Ox00 (DSCP 0x00: Defau Tt; 


Total Length: 60 
Identification: 

1 Flags: 
Fragment offset: 0 
Time to live: 128 
Protocol: ICMP (1) 

; Header checksum: 


Ox8828 (34856) 
Ox02 (Don't Fragment) 


0x9420 [correct] 


source: 10.0.10.10 (10.0.10.10) 


Destination: 


202.108.0.2 (202.108.0.2) 


sz Internet Control Message Protocol 


0000 00 e0 fc 59 04 69 54 89 98 "d 43 84 08 00 45 00 
0010 00 3c 88 28 40 00 80 01 94 20 0a 00 0a 0a ca 6c 
0020 00 02 08 00 5c f2 29 88 00 04 08 09 Oa Ob Oc Od 
16 17 18 19 la 1b lc 1d 


packets: 11 Displayed: 11 Marked: 0 


0030 ge of 10 11 12 13 14 15 
© Standard input: <live capture in... 


图 4-11 


GW-AR1 内 网 接口 60/0/1 的 抓 包 


ECN: Ox00) 
TT AC 
~ 

) 


profile: Default 





ping) es WO 






= I= 


高 级 网 络 技术 


[ead Capturing from Standard input - Wireshark 一 总 
File Edit View Go Capture Analyze Statistics Telephony Help 
有 涛 认 机遇 | 局 园 其 本 昌 | 以 上 认 澳 冯 辫 信人 加 | 被 图 各 医 | 节 


Filter: ‘7 Expression.. Clear Apply 





Es 


No, Time Source Destination Protosol Info 六 





sFrame 5: 74 bytes on wire ae (592 BEB 74 bytes captured 《592 bits) 
FF Ethernet IT, Src: HuaweiTe_d0:3c:1f (54:89:98:d0:3c:1f), Dst: HuaweiTe 59:04:6a (00:e0:fc: 5 
记 Internet protocol, src: 10.0.20.20 (10.0.20.20), Dst: 202. 108.0.2 (202.108.0.2) 
Version: 4 
Header length: 20 bytes 
wDifferentiated Services Field: Ox00 (DSCP Ox00: Default; ECN: 0x00) 
Total Length: 60 
Identification: Ox8842 (34882) 
Flags: Ox02 (Don't Fragment) 
Fragment offset: 0 
Time to live: 128 
Protocol: ICMP (1) 
EE Header checksum: OQx89fc [correct] 
Source: 10.0.20.20 (10.0.20.20) 
Destination: 202.108.0.2 (202.108.0.2) 
+ Internet Control Message Prototol | 


1 


a A A a ye es A es a a 
0000 00 e0 fc 59 04 6a 54 89 98 dO 3c 1f 08 00 45 00 .Vit. .<...E. | 
'0010 00 3c 88 42 40 00 80 01 89 fc 0a 00 14 14 ca 6c .<.B@... ....... 1 - 
0020 00 02 08 00 43 f4 42 88 00 02 08 09 0a 0b 0c 0d ....C.B. ........ | 
0030 De Of 10 11 12 13 14 15 26 17 18 19 1a 1b 1c id 56738605 spc: 
©| Standard input: <live capture in. | Packets: 12 Displayed: 12 Marked: 0 = profile: Default q 


图 4-12 ”GW-AR1 内 网 接口 G0/0/2 的 抓 包 


从 图 4-11 和 图 4-12 我 们 可 以 看 出 ，PC10 和 PC20 分 别 向 外 网 地 址 202. 108. 0. 2 发 
起 了 ping 测试 , 并 且 测 试 成 功 , 它们 都 收 到 了 ISP 路 由 器 的 应 答 ,图 4-13 展示 了 GW-AR1 
接口 60/0/0 上 的 抓 包 信 息 。 


加 Capturing from Standard input - Wireshark - 口 -证 :于 
File Edit View Go Capture Analyze Statistics TT ools Help 
卫 宁 Gi 半 | 语 同 交 名 名 | 人 让 地 名 于 及 辐 国 QQQ 昌 六 古 罗 新 | 癌 . 


Filter: | ~ Expression.,. Clear Apply 
inati Info 











UD RA i 
: Frame 9: 74 bytes on wire 二 bits); 74 和 captured WR 
= Ethernet II，Src: HuaweiTe 59:04:68 {00:e0:fc:59:0#4:68), Dst: HuaweiTe_52: 2a:c0 (54:89:; 98:5 
= Internet protocol, src: 202,108.0.3 (202.108.0.3), Dst: 202.108.0.2 (202.108.0.2) | 
Version: 去 
Header length: 20 bytes 
3 Differentiated Services 本 eejd: 0x00 (DSCP 0x00: Defauylt; ECN: 0x00) 
Total Length: 60 ° 
Identification: Ox8829 (34857) 
Flags: Ox02 (Don't Fragment) 
Fragment offset: 0 | 
Time to live: 127 
protocol: ICMP (1) 
s Header checksum: Oxdeb9 [correct] 
sotirce: 202.108.0.3 (202.108.0.3) 
Destination; 202.108.0.2 (202.108.0.2) 
3 Internet Control Message Protocol 


Ts 1); 
0000 54 89 98 52 2a CO 00 e0 fc 59 04 68 08 00 45 .00 下 ER :Ye .E. | 
0010 00 3c 88 29 40 00 7f 01 de b9 ca 6c 00 03 ca 6¢ .<.)@... ...1... 1 本 
0020 00 02 08 00 82 51 04 28 00 05 08 09 0a Ob Oc 0d ..... 站 ER 有 
0030 Oe of 10 11 12 13| 14 15 16 17 18 19 la 1b 1c dd) i ion v 
加 Standard input: i capture in... Packets: 20 Displayed: 20 Marked: 0 Profile: Default Pr 


图 4~13 ”GW-AR1 外 网 接口 60/0/0 的 抓 包 


s=* 
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管理 员 在 进行 测试 时 , 是 先 在 PC10 上 发 起 ping 测试 , 再 在 PC20 上 发 起 ping 测试 ， 
我 们 从 图 4-13 中 可 以 看 出 ,GW-AR1 先后 收 到 了 来 目 202. 108. 0.3 和 202. 108.0.5 的 ping 
请 求 消 息 ， 说 明 GW-AR1 把 PC10 发 出 的 数据 包 源 IP 地 址 转换 为 202. 108. 0.3， 把 PC20 
发 出 的 数据 包 源 IP 地 址 转换 为 202. 108. 0. 5, 正好 是 它们 各 自 NAT 地 址 组 中 的 第 一 个 IP 
和 

管理 员 想 要 把 较 多 的 私有 IP 地 址 转换 为 较 少 的 公 网 IP 地 址 ， 让 内 网 主机 都 可 以 

En IP 地 址 连接 互联 网 时 ， 束 可 以 使 用 4. 2.2 bi 的 NAPT 配置 方法 。 
先 指 定 私有 IP 地 址 〈ACL) 和 公 网 IP 地 址 (Address-Grg@up) ， 再 在 连接 公 网 的 接口 上 
把 两 者 关联 在 一 起 。 


4.2.3 配置 Easy IP 


在 4.1.3 节 (NAT 的 类 型 ) 中 我 们 介 绍 了 Easy IP 的 适用 环境 : 通过 拨号 的 方式 连 
接 Internet 的 中 小 型 局 域 网 环境 。4. 2. 3 节 我 们 会 沿用 配置 基本 NAT 的 网 络 环境 ， 如 图 
4-14 所 示 , 让 企业 网 关 路 由 器 GW-AR1 通过 过 PPPoF 的 方式 同 ISP 路 由 器 发 起 拨号 并 从 ISP 
路 由 器 那里 获取 公 网 IP 地 址 (202. 108. 0.1) ， 同 时 把 内 部 私有 IP 地 址 10. 0. 0. 0/24 
的 上 网 流量 都 转换 为 ISP 分 配 的 公 网 IP 地 址 。 


GW-ARIl ISP 路 由 器 
202.10502 (到: 光 





Internet . 









GO/U/1 
10.0.0.1/24 





”本 202.108.0.] 
10.0.0.10/24 


图 4-14 “配置 Easy IP 的 网 络 环境 


“本 例 是 在 PPPoE 配置 的 基础 上 设置 NAT 转换 , 实际 与 Easy IP 相关 的 命令 非 币 侧 单 ， 
但 要 想 成 功 建立 PPPoE 会 话 , 使 GW-AR1 成 功 向 ISP 路 由 器 发 起 PPPoE 拨号 ， 青 要 进行 多 
个 步骤 的 配置 .第 5 章 中 会 详细 介绍 PPPoE 的 理论 和 在 华为 路 由 器 上 配置 PPPoE 的 命令 ， 
并 演示 配置 案例 ， 因 此 为 了 分 清 主 次 ， 我 们 在 这 里 暂且 先 不 涉及 PPPoE 的 配置 信息 ， 只 
介绍 与 Easy IP 相关 的 命令 。 在 同样 的 环境 中 ，PPPoE 的 相关 配置 详 见 5. 4.2 六 (PPPoE 
的 配置 ) 。 

简单 介绍 一 下 当前 GW-AR1 与 TI SP 路 由 器 上 的 配置 和 环境 现状 ;ISP 路 由 器 作为 PPPoE 
服务 器 ， 向 PPPoE 客户 端 分 配 公 网 IP 地 址 202. 108. 0. 1， 并 为 其 提供 上 网 服务 。GW-AR1 
作为 PPPoE 客户 端 , 通过 物理 接口 60/0/0 连接 ISP 路 由 右 , 并 通过 虚拟 拨号 接口 Dialer 
1 向 ISP 路 由 器 发 起 拨号 并 获得 公 网 IP 地 址 202. 108. 0. 1.GW-AR1 作为 内 网 主机 的 网 关 ， 
配置 了 静态 默认 路 由 ， 下 一 跳 指 向 接口 Dialer 1。ISP 路 由 器 不 了 解 企业 内 网 使 用 的 私 
有 IP 地 址 范围 ， 它 只 为 自己 分 配 的 公 网 IP 地 址 提供 上 网 服务 。 

例 4-7 展示 了 接口 Dialer 1 获得 的 IP 地 址 。 
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例 4-7 查看 Dialer 1 上 ISP 分 配 的 1IP 地址 

[GW-ARl ldisplay interface dialer 1 

Dialerl current state : UP 

Line protocol current state : UP (spoofing) 

Description:HUAWEI, AR Series, Dialerl Interface 

Route Port, The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 

Internet Address is negotiated, 202.108.0.1/32 

Link layer protocol is PPP 

bP initial 

Physical is Dialer 

Current system time: 2017-04-06 02:43:33-08:00 
Last 300 seconds input rate 0 bits/sec, 0 packets/sec 
Last 300 seconds output rate 0 bits/sec, 0 packets/sec 
Realtime 33 seconds input rate 0 bits/sec, 0 packets/sec 
Realtime 33 seconds output rate 0 bits/sec, 0 packets/sec 
Input: 0 bytes 
OQutput:0 bytes 


Input bandwidth utilization : 0% 
Qutput bandwidth utilization : 0% 

入 

Bound to-Dialerl:0: \ 


Dialerl:0 current state : UP ， 


i 


Line protocol current state : UP 


Link layer protocol is PPP 
ECP opened, IPCP opened | 
Packets statistics: 
Input packets:0, 0 bytes 
Output packets:5, 420 bytes 


_-* 


FCS error packets:0 
Address error packets:0 读 


Control field control error packets:0 


可 


[GW-AR1] 

从 例 4-7 中 的 阴影 行 我 们 可 以 确认 接口 Dialer 1 的 IP 地址 (202. 108.0.1/32) 是 
从 ISP 学 到 的 (negotiated) 。 接 着 我 们 验证 一 下 还 没有 实施 Easy IP 的 配置 时 ， 从 PC 
问 ISP 路 由 器 发 起 ping 测试 的 结果 ， 见 例 4-8。 

例 4-8 在 PC 上 测试 Internet 连通 性 

PC>ping 202. 108. 0. 2 


= I = 


Ping 202. 108. 0.2: 32 data bytes, Press Ctrl] C to break 


Request 
Request 
Request 
Request 


Request 


= 202. 
5 packet(s) transmitted 


timeout! 
timeout! 
timeout! 
timeout! 


timeout! 


108r0.2 ping statistids™—~~= 


0 packet(s) received 
100. 00% packet loss 


PC>. 


-_- 


‘ 
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由 于 ISP 路 由 器 并 不 了 解 企业 内 网 使 用 的 私有 IP 地 址 信息 ， 也 就 无 法 回复 源 IP 地 


址 为 10. 0. 0. 10 的 ICMP 请 求 。 


示 了 与 ping 测试 相关 的 抓 包 信 息 。 


Capturing from Standard input - Wireshark 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 


所 记忆 他 宙 下 固 XX 多 怠 





外 中 必定 生 | 图 辐 | 人 QQaQ 加 | 该 加 时 项 | 品 


我 们 在 GW-AR1 的 60/0/0 接口 进行 了 抓 包 ， 图 4-15 中 展 


- 口 是 : 玛 








Filter: ee 全 ~ Expression... Clear Apply 
No. Time Source Destination Protocol jnfo 四 和 
1 10.0.0.10 230 20 108:0.2 -ICMP “Echo (ping) request (i 
146 302. 594000 10.0.0.10 202.108.0.2 ICMP Echo (ping) request Cid-0x 和 
151304.59400010.0.0.10 cc 202.108.0.2 ICMWP Echo 人 和 
-一 一 -一 高 8 202-108-02 | oh 
L -一 一 - = ICWP Echo (ping) 


Frame 146: 82 < on wire (656 pT 82 bytes captured (656 bits) 
‘wm Ethernet II, Src: HuaweiTe_82:30:54 (00:;e0:fc:82:30:54), Dst: HuaweiTe_4c:2d:54 (00:eo0: fc | 


和 1 de 


a PPP-oOVer- Etheérnat Session 
HPpoint-to-Ppoint Protocol 


Internet Protocol, Src:; 10.0.0.10 (10.0.0.10), Dst: 202.108.0.2 (202.108.0.2) 


Version: 4 
Header length: 20 bytes 


Ps 


Differentiated Services Field: 0x00 〔DSCP 0x00: Default; ECN: Ox00) 


Total Length: 60 
Identification: Ox28eb (10475) 


Flags: Ox02 (Don't Fragment) 


Fraoment offset: 0 
Time to live: 127 
Protocol: ICMP (1) 

a Header checksum: 0xfe5d [correct] 
source: 10.0.0.10 (10.0.0.10) 
Destination: 202.108.0.2 (202.108;0.2) 


-Tafannnf Tnnsoenl Mnecann mm 





DO -ad ftc 4c 2d 5 a0 Tc 82 39 54 B8 b4 11 DO 
00 O01 00 3£ 00 21-45 0 00 3c 28 eb 40 00 7 8 


fe 5S5d Oa O00 90 SC 00 0 08 00 9a 53 ec 2 
DO O02 08 09 0a oi OoOe 0f 410 A 0 


© Frame (frame), 82 bytes packets: 191 Displayed: 25 Marked: 0 


图 4-15 ”GW=AR1 外 网 接口 60/070 的 抓 包 ( 源 IP 地 址 10. 0. 0. 10) 


了 | profile: Default 


党 





和 


从 图 4-15 的 抓 包 截图 我 们 也 可 以 确认 ，ISP 路 由 器 连续 收 到 了 5 个 以 10. 0. 0. 10 为 
源 IP 地 址 的 ICMP 请 求 消息 , 但 一 个 都 没有 回复 。 我 们 在 GW-AR1 上 实施 Easy IP 的 配置 ， 


= MW 7 
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之 后 再 次 验证 PC 与 ISP 路 由 露 之 间 的 连通 性 。 

从 4.2.3 节选 用 的 网 络 折 扑 就 可 以 知道 这 个 配置 与 基本 NAT 的 配置 有 相似 之 处 : 基 
本 NAT 实现 的 是 一 对 一 的 转换 ，Easy IP 实现 的 是 多 对 一 的 转换 。 基 本 NAT 要 配置 在 接 
口上 《连接 外 网 的 接口 ) ，Easy IP 也 要 配置 在 接口 上 《发 起 拨号 的 接口 ) 。 例 4-9 展 
示 了 网 关 路 由 器 GW-AR1 上 与 Easy IP 相关 的 配置 。 

例 4-9 在 GW-AR1 上 配置 Easy IP 

[GW-AR1]jacl 2000 

[GW-ARl-acl-basic-2000]rule permit source 10.0.0.0 0. 0. 0. 255 

[GW=-AR1-acl-basic-2000jaquit 

[GW-AR1j] interface dialer 1 

[GW-AR1-Dialerljnat outbound 2000 


由 于 我 们 在 这 里 要 实现 的 是 多 对 一 的 转换 ， 因 此 需要 使 用 基本 ACL 来 限定 能 够 进行 
转换 的 私有 IP 地 址 范围 ， 本 例 中 限定 的 私有 IP 地 址 范围 是 10. 0. 0. 0/24。 接 着 管理 员 
使 用 命令 interface dialer 1 进入 了 发 起 PPPoE 拨号 的 拨号 接口 ， 并 在 这 个 接口 视图 下 
配置 了 NAT 命令 nat outbound 2000。 这 条 NAT 命令 的 含义 是 当 内 网 流量 去 往 Internet 
时 ， 把 基本 ACL 2000 中 指定 的 源 IP 地 址 转换 为 ISP 分 配 的 公 网 IP 地 址 。 

要 想 确 认 NAT 的 配置 信息 ， 管 理 员 可 以 使 用 例 4-6 中 演示 的 命令 , display nat 
outbound。 例 4-10 中 展示 了 这 条 命令 的 输出 信息 。 \ 

例 4-10 查看 GW-AR1 上 的 出 向 NAPT 配置 


[GW-ARl1 |display nat outbound 
NAT Qutbound Information: 


i em 











Interface Nol 1 Address-group/IP/ Interface Type 
Dialerl 2000 202. 108. 0. 1 easyip 
’ 
Total : 1 党 
[GW-AR1] 


从 命令 display nat outb8und 的 输出 内 容 中 我 们 可 以 清晰 地 看 出 ， 接 口 Dialer 1 
上 启用 了 Easy IP， 并 且 路 由 器 会 把 ACL .2000 中 指定 的 源 IP 地 址 转换 为 202. 108. 0. 1。 
接着 ， 我 们 再 次 测试 PC 与 Internet 的 连通 性 ， 见 例 4-11。 

例 4-11 再 次 测试 PC 与 Internet 的 连通 性 

PC>ping 202. 108. 0. 2 

Ping 202. 108, 0,2: 32 data bytes, Press Ctrl C to break 

From 202. 108. 0.2: bytes=32 seq=l ttl1l=254 time=62 ms 


From 202. 108. 0. 2: bytes=32 Seq=2 tt1=254 time=32 ms 


一 22 = 
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From 202. 108. 0. 2: bytes=32 seq=3 tt1=254 time=31 ms 
From 202. 108. 0. 2: bytes=32 seq=4 tt1l=254 time=31 ms 
From 202. 108. 0. 2: bytes=32 seq=5 tt1=254 time=31 ms 


“= 202.108, 0 piny Statisties = 
5 packet (s) transmitted 
5 packet(S) received 
0. 00% packet loss > 
round-trip min/avg/max = 31/37/62 ms sd 


PpC> ‘ 
从 例 4-11 的 ping 测试 我 们 可 以 看 出 ，PC 现在 能 够 正常 访问 Internet。 那 么 在 ISP 


路 由 器 看 来 ， 它 收 到 的 ICMP 消 虑 源 IP 地 址 是 什么 呢 ? 我 们 在 GW-AR1 的 60/0/0 接口 进 
行 了 抓 包 ， 图 4-16 中 展示 了 与 ping 测试 相关 的 抓 包 信息 。 


国 。 Capturing from a - Wireshark - 口 隐 十 
File Edit View Go Capture Analyze Statistics Telephony Tools Heip 

到 首 出 创 制 局 国 关 儿 吕 | 夺 市 守 呈 守业 | 硬 轿 QQQ 加 入 国 转产 | 铝 

Filter: icmp | sie SP ~ Expression... Clear Apply 

No. Time SR Destination Protocol 0 _ 。 


-108.:0:1 ~ ~ TCMP :Echoil 
_202. 108.0.2 ICMP 










5 Frame 180: 82 = on wire (656 bits), 82 bytes captured (656 bits) 
Ethernet II，Src: HuaweiTe 82:30: 和 I: e0:fc:82:30:54), Dst: HuaweiTe_4c:2d:54 (00:e0: fk 因 
a 


Fk PPP- -0ver-Ethernet Session 
6 Point-to-Point Protocol 
= Internet Protocol, Src: 202.108.0.1 (202.108.0.1), Dst: 202.108.0.2 (202.108.0.2) 
Version: 4 
Header length: 20 bytes 
HDifferentiated Services Field: Ox00 (DSCP Ox00: Defauylt; ECN: Ox00) 
Total Length: 60 
Identification: Ox292c (10540) 
Flags: Ox02 (Don't Fragment) 
Fragment offset: 0 
Time to live: 127 
Protocol: ICMP (1) 
Header checksum: Qx3db9 [correct] 
Source: 202.108.0.1 (202.108.0.1) 


他 


人 





Destination: 202.108.0.2 (202.108.0.2) i 
:TnfFAnwmnnt Tant on nccann Nnntaral | 
- 一 和 A 4 r 可 = en tp i 4 > 
0000 00 e0 fc 4c 2d 54 00 e0 fc 82 30 54 88 64 11 00 et [Gy re 1 a 一 
0010 00 01 00 3e 09 21 45 00 00 3c 29 2c 40 00 ?7f 01 ee En 
0020 3d b9 ca 6c 00 01 ca 6c¢ 00 02 08 00 85 54 O01 28 =-.]..-1 ..... 年: 
0030 00 02 08 09 0a Ob Oc 0d Oe Of 10 11 12 13 14 15 eee eeeipess v 
© Standard input: <live capture in... Packets: 191 Displayed: 25 Marked:0 profile:Default 


图 4-16 ”GW=AR1 外 网 接口 60/0/0 的 抓 包 ( 源 IP 地 址 202. 108. 0. 1) 


从 图 4-16 所 示 的 抓 包 信息 中 ， 我 们 看 到 了 源 IP 地 址 202. 108. 0. 1 发 来 的 ICMP 请 
求 ， 以 及 ISP 路 由 器 回复 的 ICMP 应 答 ， 并 没有 PC 上 配置 的 私有 IP 地 址 10. 0. 0. 10。 这 
表示 GW-AR1 已 经 通过 Dialer 1 接口 配置 的 出 向 NAT 命令 , 成 功 地 为 私有 IP 地 址 执行 了 
NAT 转换 ， 将 其 转换 为 ISP 分 配 的 公 网 IP 地 址 。 


ws 
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4.2.4 配置 NAT 服务 器 


前 而 三 节 中 ， 我 们 介绍 的 配置 方法 都 是 使 内 网 主机 能 够 访问 外 网 的 方法 ，4. 2.4 市 
我 们 要 介绍 如 何 让 外 网 主机 能 够 主动 访问 内 网 的 设备 ， 这 种 实现 方法 称 为 NAT 服务 絮 。 
图 4-17 中 展示 了 4. 2. 4 节 使 用 的 网 络 环境 。 


网 页 服务 器 







GW-ARI ISP 路 由 器 
202.108.0.2/24 


172.16.0.3/24 
202.108.0.3 








GO/O/]1 
172.16.0.1/24 





GO/0/0 
202.108.0.1/24 


流 x 
= 公 网 用 户 - 
1 6 6 dA 123.119.113.123 


202.108.0.4 


FTP 服务 器 





图 4-17 NAT 服务 器 配置 的 网 络 环境 


在 这 个 企业 环境 中 ， 企 业 需 要 问 外 提供 网 页 服务 和 FTP 服务 ， 提 供 这 两 种 服务 的 服 
务 器 都 位 于 企业 内 部 ， 分 别 使 用 私有 IP 地 址 172. 16. 0. 3/24 和 172. 16. 0. 人 24。GW-ARI1 
作为 网 关 路 由 器 连接 ISP 路 由 器 ， 使 用 ISP 分 配 的 公 网 IP 地 址 202. 108. 0. 1/24。 管 理 
员 要 在 路 由 器 GW-AR1 上 配置 NAT 服务 需 特 性 ， 让 Internet 上 的 用 户 能 够 主动 访问 内 网 
中 的 网 页 服务 器 和 FTP 服务 器 。 例 4-12 展示 了 GW-AR1 上 的 配置 信息 。 

例 4-12 在 GW-AR1 上 配置 NAT 服务 器 

<Huawei>system-view 

[Huawei | sysname GW-AR1 

[GW-AR1 |interface gigabitethernet 0/0/1 S 

[GW=AR1-GigabitEthernet0/0/1]ip address 172. 16.0. 1 255.255.255.0 

[GW-AR1-GigabitEthernet0/0/1]quit 污 

[GW-AR1 jinterface gigabitethernet 0/0/0 

[GW-AR1-GigabitEthernet0/0/Qip address 202. 108.0. 1 255. 255. 255. 0 


[GW-AR1-GigabitEthernet0/0/0]nat server protocol tcp global 202. 108.,0,3 www inside 
172. 16. 0. 3 _ www 


[GW-AR1I-GigabitEthernet0/0/0]nat server protocol tcp global 202.108.0.4 ftp inside 
172. 16. 0x4 ftp 


[GW-AR1-GigabitEthernet0/0/0]quit 

[GW-AR1jip route-static 0.0.0.0 0.0.0.0 202. 108. 0.2 

在 例 4-12 所 示 配 置 中 ， 展 东 了 管理 员 到 目前 为 止 在 GW-ARl1 上 配置 的 所 有 命令 ， 我 
们 先 逐 条 理解 一 下 这 些 命 令 的 作用 ， 青 通过 测试 查看 这 些 命 令 的 效果 。 除 了 常规 的 主机 


— Il = 
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名 和 接口 IP 地 址 的 配置 外 ， 命 令 展 示 中 的 最 后 一 条 命令 还 指定 了 一 条 默认 路 由 ， 以 
202. 108. 0. 2 为 下 一 跳 耻 地 址 ， 这 也 是 网 关 路 由 器 上 的 向 见 配置 。 这 个 配置 案例 中 的 重 
所 命令 是 60/0/0 接口 视图 下 的 两 条 nat 命令 , 从 这 两 条 命令 中 我 们 可 以 看 出 , 管理 员 在 

人 网 IP 地 址 202. 108. 0. 3:80 和 私有 IP 地 址 172. 16. 0. 3:80 之 间 进 行 了 转换 , 同时 在 公 
网 IP 地 址 202. 108. 0. 4:21 和 私有 IP 地 址 172. 16. 0. 4:21 之 间 进 行 了 转换 (服务 器 默认 
通过 TCP 80 痛 口 提供 网 页 服务 ， 通 过 TCP 21 端口 提供 FTP 服务 ) 。 

配置 NAT 服务 需 特 性 的 命令 也 是 在 接口 视 几 下 输入 的 ， 命 令 为 : nat server protocol 
[tcp | udp) EL global-address global-port inside host-address [host-port]. 
在 配置 端口 时 ， 管 理 员 可 以 输入 端口 编号 ， 也 可 以 输入 跨 口 名 称 ; 在 使 用 端口 编号 进行 
卫生 后 ， 路 由 独 在 把 命令 存 入 过 行 本 和 时 : 会 把 靖 口 号 转换 成 相应 的 端口 名 ge 
对 应 名 称 的 话 ) 。 管 理 员 可 以 使 用 问号 〈《?) 来 得 看 具体 能 够 配置 的 协议 名 称 。 

例 4-13 使 用 display nat server 命令 查看 了 GW-AR1 上 的 NAT 服务 器 配置 

例 4-13 查看 GW-AR1 上 的 NAT 服务 器 配置 

[GW-ARljdisplay nat server 


Nat Server lnformation: 

Interface : Gigabiththernet070/0 
Global IP/Port  : 202.108.0.3/80(www) 
Inside IP/Port & : 172.16.0.3/80(ww) 
Protocol : 6(tcp) 


VPN instance~name “一 一 一 一 


Acl number :Se 

Dosoription, == 

Global IP/Port : 202. 108. 0. 4/21 (ftp) 
Inside IP/Port ‘T2600 4721 (ftp) 


Protocol : 6(tcp) 
VPN instance=nane : 一 一 
Acl number 3 二 二 一 一 


DescriptioN : =—— 


Total : 2 
[GW-AR1] 
例 4-13 所 示 命 令 的 输出 内 容 与 例 4-12 中 查看 基本 NAT 的 输出 内 容 类 似 ， 从 这 条 命 
令 的 输出 信息 中 我 们 可 以 看 出 ，G0/0/0 接口 下 有 两 对 转换 关系 : 公 网 IP 地 址 /端口 
202. 108. 0. 3/80 (www) 和 内 部 IP 地 址 /端口 172. 16. 0. 3/80 (www) 之 间 的 转换 ， 以 及 公 网 
IP 地 址 /端口 202. 108. 0. 4/21(ftp) 和 内 部 IP 地 址 /端口 172. 16. 0. 4/21 (ftp) 之 间 的 转 


一 一 
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换 。 除 此 之 外 ， 我 们 还 可 以 了 解 到 ， 和 基本 NAT 的 配置 一 样 ，NAT 服务 器 的 配置 也 可 以 
应 用 ACL、 添 加 描述 信息 等 。4. 2.4 节 展 示 的 NAT 服务 器 命令 句法 中 省 略 了 配置 这 些 内 容 
的 关键 字 和 参数 信息 ， 对 命令 的 完整 句法 感 兴趣 的 读者 可 以 参考 华为 设备 的 产品 文档 或 
命令 参考 。 

图 4-18 验证 了 公 网 用 户 访问 网 页 服务 器 的 结果 ， 本 例 使 用 eNSP 模拟 器 搭建 了 整个 
实验 环境 。 






| 大 而 本 置 。| 窜 户 放 访 息 | 日 者 信息 


| 
2 地 址 : http://202.108.0.3/default.htm 


HttpClient 
HTTP/1.1 404 Not Found 
| Server: ENSP HttpServer 
| Auth: HUAWEI 


文件 名 : default.htm 


| 
| 


类 型 ; text/html 


来 自 : 202.108.0.3 


| 
是 否 保存 该 文件 ? 
| 
| 














图 4-18 公 网 用 户 访问 网 页 服务 器 
从 图 4-18 所 示 页 面 中 的 弹出 窗口 我 们 可 以 看 出 ， 公 网 用 户 成 功 地 通过 公 网 IP 地 
址 202. 108. 0.3 访问 到 了 我 们 搭建 在 内 网 中 的 网 页 服务 占 ， 网 页 服务 右 辣 它 返 回 了 请 
求 的 文件 。 暂时 保留 这 个 对 话 框 , 我 们 在 网 关 路 由 器 GW3AR1 上 使 用 命令 查看 NAT 会 话 ， 
见 例 4-14。 训 
例 4-14 查看 GW-AR1 上 的 NAT 会 话 (www) 
[GW-AR1]display nat session 各 3 


NAT Session Table Information: 


Protocol : TCP (6) 
SrcAddr Port Vpn : 123.119.113. 123 2824 
DestAddr Port Vpn : 202. 108:-0. 3 80 
NAT-Info 

New SrcAddr ee 


New SrcPort | 


= 2 一 
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New DestAddr ee 
New DestPort ee 


Total » 1 
[GW-AR1] 
管理 员 可 以 使 用 例 4-14 中 展示 的 命令 display nat session all 来 查看 当前 路 由 


右 中 建立 的 NAT 会 话 。 从 这 个 案例 可 以 看 出 ， 目 的 IP 地 址 /端口 号 是 公 网 地 址 
202. 108. 0. 3/80， 转 换 后 的 私有 IP 地 址 /端口 号 是 172. 16. 0. 3/80。 

接 下 来 我 们 再 测试 公 网 用 户 对 FTP 服务 器 的 访问 , 莉 4-19 展示 了 公 网 用 户 访 问 FTP 
服务 器 的 登录 失败 消 恩 。 





页 法 千 
Chiemtt - 人 -有机 
3 E (i - 
基 矶 这 委 | 专 户 这 值 吉 |。 日 志 信息 * 
Fux hent 
服务 故地 址 : 202 .108 . 0 .#4 用 户 名 : 
HipOlent 
揣 口 号 21 密码 
义 件 传输 模式 类 型 
名 错误 ; | x 
| 局 wll die A i Mii erm te | 
| @ 这 楼 服务 几 失 败 。 
| 和 
| 
| 
4 
| | 
\ EE i 
ckcore.bet 1554 
CS5AEPRESETSF.,. 
DRMsoft 
FFOutput v 
< ee > < La 
只 显示 小 于 iM 的 文件 





图 4-19 公 网 用 户 访 问 FTP 服务 器 失败 


外 网 用 户 无 法 正常 访问 FTP 服务 器 ， 是 因为 网 关 路 由 器 GW-AR1 上 缺少 ALG 配置 。 

通常 情况 下 ，NAT 只 会 针对 数据 包头 部 的 IP 地 址 和 端口 号 执行 转换 ， 而 不 会 关注 
数据 包 载 荷 部 分 的 内 容 。 而 有 一 些 应 用 协议 也 会 在 数据 包 的 载荷 中 携带 地 址 和 端口 信 
恩 ， 如果 执行 NAT 转换 的 网 关 路 由 器 不 对 载 傈 中 的 地 址 和 端口 信息 进行 任何 处 理 , 通 
- 信 束 会 失败 。FTP 就 是 这 样 的 一 种 协议 ， 与 此 类 似 的 协议 还 包括 DNS、SIP、PPTP 和 
RTSP 等 。 

为 了 使 网 关 路 由 器 能 够 针对 具体 的 应 用 协议 ， 为 数据 包 载 荷 中 携带 的 IP 地 址 和 端 
口号 执行 相应 的 转换 , 管理 员 就 需要 使 用 应 用 层 网 关 (Application Level Gateway, ALG ) 
功能 。 在 本 例 所 示 环 境 中 ， 管 理 员 只 要 针对 FTP 协议 启用 ALG 功能 就 可 以 了 ， 见 例 4-15 
所 示 。 


= 
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例 4-15 在 GW-AR1 上 为 FTP 启用 ALG 功能 


[GW-ARijnat alg ftp enable 
[GW-ARl jdisplay nat alg 


NAT Application Level Gateway Information: 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 





Application Status 

dns Disabled 

ftp Enabled 

rtsp Disabled 

sip Disabled 
[GW—AR1] 


例 4-15 在 GW-AR1 为 FTP 启用 了 ALG 功能 ， 使 它 能 够 针对 FTP 包 载 荷 部 分 的 IP 地 
址 和 站 口 号 执行 正确 的 转换 。 现 在 我 们 再 次 测试 公 网 用 户 对 FTP 服务 器 的 访问 ， 


展示 了 公 网 用 户 成 功 登录 FTP 服务 咒 的 页 面 。 


Ciiontt 


二 蝶 自 已 志 述 囊 





钥 务 器 地 十 : 202 . 108 
端口 号 : 


义 件 传输 模式 类 型 


@ PASVY PORT © Binary 


本 地 文件 列表 | 
[| v 
诡 件 名 
360 极 速 浏览 器 ... 


AECSSCOMMONP - 
al213 


< > 


只 显示 小 于 1M 的 文件 





图 4-20 


同样 的 ， 我 们 还 是 暂时 保留 这 个 对 话 框 ， 并 在 网 关 路 由 器 GW-AR1 上 使 用 命令 查看 


NAT 会 话 ， 见 例 4-16。 


a EE rr ep TRE er i i 


用 户 各 : 


ASCT AUtO Check 


服务 天 文件 列表 


文件 名 
Bluetooth Fokier 
Camtasa Stydio 
desirtop. Inl 
.Downloads 
Vy 150 Files 
My Music 
My Pictures 


Mydeos 


例 4-16 查看 GW-AR1 上 的 NAT 会话 (ftp) 


[GW-AR1jdisplay nat session all 


NAT Session Table Information: 


= Ld 


PDN ti 


公 网 用 户 成 功 访问 FTP 服务 器 


Cr 了 


Protocol 


NAT-Info 
New SrcAddr 
New SrcPort 
New DestAddr 
New DestPort 


Protocol 


NAT-Info 
New SrcAddr 
New SrcPort 
New DestAddr 
New DestPort 


Protocol 


NATI 一 Lrifo 
New SrcAddr 
New SrcPort 
New DestAddr 
~ New DestPort 


Protocol 
SrcAddr Port Vpn 
DestAddr Port Vpn 
NAT-—1nfo 
New SrcAddr 
New SrcPort 
New DestAddr 
New DestPort 


Protocol 


NAT—Info 
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: TCP(6) 
SrcAddr Port Vpn : 
DestAddr Port Vpn : 


123. 119. 113. 123 6664 
202. 108. 0. 4 5376 


Ss 04 
SG 


: TCP{6) 
SrcAddr Port Vpn : 
DestAddr Port Vpn : 


123. 119. 113. 123 7176 
202.408.0.4 5376 


Py 


"Ga: 4 
5378 | 


: TCP:(6) 
SrcAddr Port Vpn : 
DestAddr Port :Vpn Yl 


123. 119, 113. 123 7432 
202. 108. 0. 4 5376 


二 
:3 


: TCP(6) 
了 
2 .9.4 


5376 


一 .- 一 -一 一 一 


ve 出 2 
s B376 


* TEP'(O) 
SreAddr Port Vpn : 
DestAddr Port Vpn : 


l1235119, 113. 123 7688 
202. 108. 0. 4 968 


一， 一 
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New SrcAddr 
New SrcPort 
New DestAddr 
New DestPort 


-一 一 -一 一 


: T1060, 
: 1800 


Patay i 8 
[GW-=AR1] 
a 4-16 的 命令 输出 内 容 中 我 们 可 以 看 出 ， 外 网 用 户 与 FTP 服务 器 之 间 建 立 了 5 

个 NAT 会 话 ， 并 一 一 记录 了 每 一 对 IP 地 址 /端口 号 的 转换 关系 。 我 们 在 GW-AR1 的 接口 
ee ER 
地 址 和 交口 号 的 数据 包 样 例 。 





a Capturing from Standard input - Wireshark 
File Edit View Go Capture Analyze Statistics ie Tools Help 


局 剖 前 i 家 | 可 国 关 忆 昌 | 信 沾 外 蝗 卫 于 || 国 | 国 / QQ 人 QQ 加! 前 加 岗 深 | 铝 

Filter; ~ Expression.. Clear Apply 

N5. Time Source Destination Protocel info A 
21 17.297000 123.119.113.123 202.108.0.4 FTP Request: TYPE A 
22 17.360000 202.108.0.4 1323.1149.113.123 FTP Response: 200 Type set to A 
23 17.360000 123.119,113.123 202.308.0.4 ， ,FTP Request: PASV 
24 17.438000 202.108.0.4 23 -339 3123 FTP Response: 227 Entering Pass 

Request: LIST yd 


2 7 O00 123. 于 113. 123 202.108.0.4 FTP 


~ i Weyw ~ 


人 


ee Wr 
SOUTPCA pr tn (21) 
Destination port: iop (2055) \ 
[Stream index: 1] \ 
Seduence number: 151 (relative seqHence number) 
[Next sequence number: 198 


oe MN Hm ME rv Ww Td} 


(relative sequence number)] 
(relative ack number) 


ee 


Acknowledgement number: 36 
Header length: 20 bytes 
4Flags: Ox1i8 (PSH, ACK) 
Window size: 8157 
HChecksum: Ox5c35 [validation disabled] 
s [SEQ/ACK analysis] 
SFile Transfer Protocol (FTPY 
227 Entering Passive Mode G02 108,0,| 
Response code: Entering Passive Mod 


,200,1)\r\n 

(227) 

Response arg: Entering Passive Mode (202,108,0,4,200,1) 
Passive IP address: 202.108.0.4 (202.108.0.4) 


Passive POS: SE 
Ee | 0 | ee Be : SE > 
0000 54 89 98 15 67 80 0 人 35. 26 ic 08 00 45 00 下. .9 。 .S&...E. 
0010 00 $57 00 15 00 00 fe 06 05 29 ca 6c 00 04 7b 77 (Pt ee 7 过 
0020 71 7b 00 15 08 07 0000 29 al 00003d 3d 50 18 qf{f.%.... )....:= =P. 
0030 if dd 5c 35 00 00 32 32 37 20 45 6e 74 65 72 69 a = sa 史 Enteri v 


@ Standard input; <live capture in... TREE Default — 


图 4-21 Ip 数据 包 的 FTP 载荷 中 扒 带 IP 怨 址 和 端口 信息 


Packets: 61 Displayed: 61 Marked: 0 


在 使 用 NAT 服务 器 功能 时 ®: 管 理 员 要 对 内 网 服务 器 向 外 网 提供 的 服务 有 所 了 解 ， 并 
在 需要 时 局 用 ALG 功能 。 


4.3 本章 总 结 


从 本 章 开 始 我 们 的 眼界 逐渐 放宽 ， 在 本 地 网 络 的 基础 上 ， 开 始 考虑 本 地 网 络 与 其 他 
网 络 〔( 尤 其 是 Internet) 之 间 相 连 时 所 要 使 用 的 技术 。 本 章 介绍 的 是 在 大 多 数 情况 下 ， 
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本 地 网 络 与 其 他 外 部 网 络 相 连接 时 都 会 部 署 的 技术 一 一 网 络 地 址 转换 CNAT) 。 

首先 ， 本 章 介 绍 了 NAT 的 作用 和 工作 原理 ， 在 使 用 NAT 技术 时 ， 管 理 员 不 仅 能 够 使 
用 一 个 或 少数 几 个 公有 IP 地 址 ， 让 所 有 内 网 主机 都 能 访问 Internet， 而 且 还 能 够 对 外 
隐藏 本 地 网 络 中 的 地 址 结构 ， 为 本 地 网 络 带 来 一 定 的 安全 保障 。 在 一 般 情况 下 ，NAT 提 
供 的 是 从 内 部 IP 地 址 向 公 网 IP 地 址 的 转换 ， 但 在 有 需要 的 时 候 (比如 需要 内 网 主机 对 
公 网 用 户 提 供 服 务 ) ， 管 理 员 也 可 以 通过 使 用 NAT 服务 器 特性 ， 为 内 部 服务 器 绑 定 一 个 
公 网 IP 地 址 和 端口 号 ， 让 服务 器 能 够 为 公 网 用 户 提 供 服务 。 

其 次 ， 本 章 介绍 了 在 华为 路 由 器 上 实现 NAT 的 几 种 形式 ， 其 中 包含 了 NAT 所 能 够 提 
供 的 所 有 功能 : 一 个 私有 IP 地 址 转换 为 一 个 公 网 IP 地 址 、 多 个 私有 IP 地 址 转换 为 一 个 
公 网 IP 地 址 、 多 个 私有 IP 地 址 转换 为 多 个 公 网 IP 地 址 , 以 及 通过 NAT 服务 器 特性 使 内 
部 服务 器 为 外 部 用 户 提供 服务 。 

最 后 ， 我 们 通过 多 个 案例 介绍 了 NAT 在 华为 设备 环境 中 的 配置 命令 和 使 用 环境 。 通 
过 本 章 的 学 习 ， 读 者 应 该 能 够 掌握 基本 的 NAT 使 用 环境 和 方法 ， 并 且 能 够 使 用 华为 路 由 
器 实现 NAT 功能 。 | 


ee 


和 


、 选 择 题 

. 以 下 属于 RFC 1918 文档 指定 的 私有 IP 地 址 空间 的 选项 是 ? (多 选 )( ) 
,10.0. 0.0/8 : B. 172. 16. 0. 0716 

. 198. 162. 0. 0/24 D. 192. 168. 0. 0/24 

. 以 下 有 关 NAT 作用 的 说 法 中 ， 错 误 的 是 ? ( ) 

. NAT 可 以 把 私有 IP 地 址 转换 为 公 网 IP 地 址 

. NAT 可 以 把 公 网 IP 地 址 转换 为 私有 IP 地 址 

.NAT 可 以 对 外 隐藏 内 网 IP 地 址 架构 

. NAT 不 能 为 私有 网 络 提供 安全 保护 

,什么 是 “两 次 NAT”? ( ) 

.本 地 网 关 对 源 和 目的 IP 地 址 同时 进行 转换 

.本 地 网 关 对 IP 地 址 和 端口 号 同时 进行 转换 

. 本 地 网 关 执 行 一 次 NAT 转换 ， 远 端 网 关 再 执行 一 次 NAT 转换 

， 本 地 网 关 执 行 一 次 NAT 转换 ，ISP 路 由 器 再 执行 一 次 NAT 转换 

. 下 列 有 关 基 本 NAT 和 NAPT 实现 的 说 法 中 ， 正 确 的 是 ? (多 选 ) ( ) 

.路 由 器 收 到 内 网 用 户 发 往外 网 的 数据 包 时 ， 会 根据 NAT 的 配置 转换 源 IP 地 址 
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B. 路 由 器 收 到 内 网 用 户 发 往外 网 的 数据 包 时 ， 会 根据 NAT 的 配置 转换 目的 IP 地 址 

C. 路 由 器 收 到 内 网 用 户 发 往外 网 的 数据 包 时 ， 会 根据 NAPT 的 配置 转换 源 IP 地 址 
和 站 口号 

D. 路 由 器 收 到 内 网 用 户 发 往外 网 的 数据 包 时 ， 会 根据 NAPT 的 配置 转换 目的 IP 地 
址 和 交口 号 

5. 以 下 哪 一 项 是 正确 的 基本 NAT 配置 命令 ? (  ) 

A. [GW-ARljnat static global 202. 108. 0. 3 inside 10. 0..0. 10 

B，[GW-AR1-GigabitEthernet0/X0X0jnat static global 202. 108. 0. 3 inside 10. 0. 
0. 10 

C. [GW-ARllnat global 202. 108. 0. 3 inside 10. 0. 0. 10 

D.LGW=-AR1-GigabitEthernet0/0/0jnat global 202. 108. 0.3 inside 10. 0. 0. 10 

6. 下 列 针 对 NAPT 配置 的 说 法 中 ， 正 确 的 是 ? 《多 选 ) ) 

A. 使 用 地 址 组 来 指定 需要 被 转换 的 私有 IP 地 址 

B. 使 用 基本 ACL 来 指定 需要 被 转换 的 私有 IP 地 址 

C. 使 用 地 址 组 来 指定 需要 转换 为 的 公有 IP 地 址 

D. 使 用 基本 ACL 来 指定 需要 换 为 的 公有 IP 地 址 

7. 下 列 针对 NAT 服务 器 配置 的 说 法 中 ， 正 确 的 是 ? (多 选 )(  )\ 

A. 命令 句法 为 nat server {tcp | udp} global global-address global-port inside 
host-address [host-port] 

B. 在 对 使 用 TCP 端口 21 的 应 用 进行 转换 时 ， 和 需要 局 用 ALG 功能 

Cc， 在 对 使 用 TCP 端口 80 的 应 用 进 竺 转换 时 ， 需 要 启用 ALG 功能 

D. 在 配置 命令 中 可 以 使 用 端口 号 也 可 以 使 用 端口 名 称 〈( 如 果 有 的 话 ) 


、 判 断 题 
1， 在 转发 数据 包 的 过 程 中 (包括 路 由 器 接收 数据 包 和 发 送 数据 包 的 行为 )， 路 由 售 
Re NAT 操作 ， 再 执行 路 由 操作 。 四 


2. 在 华为 设备 中 , 基本 NAT 可 以 执行 一 对 一 转换 ,NAPT 可 以 执行 多 对 多 转换 ，Easy 
ee hm 到: 

.在 华为 设备 中 配置 基本 NAT、Easy IP 和 NAT 服务 器 时 ， 都 需要 在 连接 外 网 的 物 
本 应 的 NAT 命令 。 
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对 于 大 部 分 动手 能 力 比 较 强 的 读者 来 说 ， 第 一 次 接触 WAN 这 个 概念 一 定 不 是 在 教材 
上 ， 而 是 在 自己 的 家 用 路 由 器 上 。 尽 管 拿 到 刚 买 的 家 用 路 由 器 时 ， 很 多 对 于 网 络 技术 一 
知 半 解 甚至 一 窍 不 通 的 人 员 ， 也 能 够 码 兢 绊 绊 按 照 家 用 路 由 器 配备 的 说 明 书 ， 正 确 地 连 
接 家 用 路 由 器 配备 的 1 个 WAN 接口 和 几 个 LAN 接口 ， 住家 用 环 涡 中 实现 网 络 访问 的 共享 。 

然而 ， 对 于 喜欢 刨 根 问 底 的 人 来 说 ， 如 果真 的 在 线 搜 索 WAN 这 个 词 的 表意 ， 也 许 反 
而 会 看 得 一 头 筋 水 。 为 何 我 们 的 WAN 接口 上 连接 的 只 是 一 根 不 到 半 米 的 五 类 线 ， 连 接 的 
对 象 也 是 摆 在 自己 书 果 上 的 家 恬 网 关 〔( 调 制 解 调 器 ) ， 人 们 却说 WAN 网 络 是 那 种 跨越 数 
十 甚至 上 百 公里 的 网 络 ? 如 果 把 WAN 理解 成 是 调制 解 调 器 电话 线 那 一 端 所 连接 的 网 络 ， 
那么 WAN 和 Internet 又 有 什么 区 别 ? 

其 实 ， 对 于 WAN 的 概念 与 技术 感到 陌生 的 不 只 是 缺乏 网 络 技术 背景 的 门外汉 。 对 于 
很 多 了 解 一 些 网 络 技术 的 技术 人 员 和 一 些 已 经 从 业 一 段 时 间 的 工程 师 来 说 ， 广域网 技术 
很 有 可 能 也 是 他 们 的 技术 惠 区 。 这 不 仅 古 因为 在 企业 网 络 实施 过 程 中 ， 配置 广域网 接 入 
部 分 只 占 到 实施 工作 的 一 个 极 小 的 比重 ， 而 难度 比较 大 的 广域网 实施 工作 不 会 由 企业 网 
的 工程 师 来 负责 实施 ， 同时 各 个 厂商 也 是 从 - [ 作 的 实用 性 角度 出 发 ， 在 设计 各 级 认证 考 
试 中 ， 都 没有 全 广域网 技术 赋予 比较 大 的 比重 。 这 些 因 素 共 同 导 致 了 很 多 网 络 从 业者 更 
容易 忽视 广域网 技术 。 

在 第 5 章 中 ， 为 了 帮助 读者 顺利 完成 广域网 技术 的 扫盲 ， 对 于 我 们 介绍 的 广域网 技 
术 留 下 相对 比较 深刻 的 印象 ， 我 们 精心 选择 了 三 种 广域网 技术 ， 这 三 种 技术 在 一 定 程度 
上 存在 好 辑 上 的 北 进 关系 。 我 们 相信 ， 按 照 本 章 的 顺序 学 习 这 些 广域网 技术 有 助 于 读者 
理解 和 掌握 这 些 技术 的 工作 原理 ， 也 可 以 为 读者 在 实际 工作 中 过 到 其 他 需要 学 习 的 广 域 
网 技术 时 ， 打 造 一 个 能 够 尽快 掌握 其 他 同类 技术 的 知识 平台 
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在 开始 正文 之 前 ， 我 们 必须 声明 一 点 ， 大 多 数 可 以 在 局 域 网 中 使 用 的 技术 与 可 以 在 
广域网 中 使 用 的 技术 之 间 并 无 泾 渭 。 这 也 就 是 说 ， 之 前 很 多 我 们 介绍 过 的 技术 ， 包 括 以 
太 网 在 内 实际 上 都 可 以 应 用 于 广域网 环境 中 。 而 我 们 在 第 5 章 所 说 的 广域网 技术 ， 其 实 
指 的 是 多 用 于 广域网 接 入 的 网 络 技术 。 


ETT 
. 再 


Ci 3 。 了 解 广域网 一 词 在 实际 工作 中 的 表意 ; 
CE, 3。 了 解 HDLC 的 数据 帧 封装 方式 及 各 个 字段 的 作用 | 
目 c 3。 理解 HDLC 的 配置 与 调试 方法 ; -过 
-3。 理 解 PPP 协议 的 数据 帧 封装 方式 及 各 个 字段 的 作用 ; 
:  。 理解 PPP 协 谈 的 协商 流程: 
掌握 PAP 协议 汪 CHAP 协议 的 异同 : 
e。 掌握 PPP 协议 及 认证 的 配置 与 调试 方法 ; 
。 掌握 在 以 太 网 环境 中 封装 各 类 PPP 消息 的 方式 ; 
e 理解 PPPoE 的 工作 流程 ; 
e 掌握 PPPoE 认证 的 配置 与 调试 方法 。 
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5.1 广域网 概述 


广域网 是 跨越 很 大 地 域 范 围 的 通信 网 络 一 一 大 多 数 针 对 广域网 的 定义 如 是 说 。 这 种 
定义 虽然 坚 无 丝 尘 ， 让 人 无 法 反 驱 ， 但 也 确实 没有 给 希望 了 解 广域网 的 人 提供 太 多 有 价 
值 的 信息 。 为 了 避免 读者 在 后 面 的 学 习 和 工作 中 产生 更 多 疑问 ， 我 们 有 必要 先 对 广域网 
这 个 概念 进行 一 下 解释 。 

广域网 从 概念 上 看 确实 指 代 网 络 覆 盖 的 地 理 区 域 。 当 一 个 网 络 跨 域 几 百 、 数 和 干 甚 至 
上 万 公里 建立 站 点 间 的 连接 时 ， 这 个 网 络 就 是 一 个 广域网 。 从 这 个 角度 上 看 ， 本 系列 教 
材 《 网 络 基 础 》 中 1. 1.3 节 《〈 互 联网 的 雏形 ) 中 介绍 的 互联 网 始祖 一 一 ARPAnet 就 是 一 
- 个 广域网 ， 因 为 它 连 接 的 网 络 跨越 了 500 公里 以 上 的 距离 。 不 过 ， 这 个 网 络 在 当时 被 称 
为 远程 网 (Long Haul Network ) 而 不 是 广域网 (Wide Area Network) 。 广 域 网 这 个 词 
几乎 是 作为 局 域 网 (Local Area Network) 的 对 应 概念 才 在 后 来 得 到 广泛 使 用 的 。 所 以 ， 
要 想 理 解 广 域 网 的 概念 ， 读 者 必须 了 解 广域网 与 局 域 网 之 间 的 区 别 。 

每 当 提 到 局 域 网 这 个 概念 ， 我 们 想到 的 往往 是 一 个 由 很 多 交换 机 、 接 入 点 CAP) 、 
终端 ， 和 个 别 充当 网 关 的 路 由 器 所 组 成 的 网 络 。 在 绝 大 多 数 情况 下 ， 搭 建 这 个 网 络 中 所 
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rtd ernest ， 或 者 驻 场 这 家 
企业 的 外 包 人 员 来 为 这 个 企业 提供 的 。 也 就 是 说 ， 因 为 局 域 网 跨越 范围 小 、 线 绕 铺 设 短 、 
搭建 成 本 低 、 维 护 任务 轻 ， 所 以 局 域 网 往往 是 由 它 的 使 用 者 所 有 并 全 权 管 理 的 网 络 。 

广域网 则 不 同 。 鉴 于 广域网 所 连接 的 区 域 至 少 跨 越 数 十 公里 ， 这 种 跨度 的 网 络 目 然 
不 是 每 一 家 企业 或 每 一 位 用 户 都 有 能 力 搭建 并 维护 的 ， 所 以 如 果 企 业 或 者 用 户 币 望 实现 
这 种 跨度 的 通信 ， 通 常 只 能 求助 于 已 经 铺设 了 庞大 线路 网 的 电信 服务 提供 商 ， 让 它们 以 
租赁 的 形式 向 自己 提供 电信 服务 。 这 也 就 是 说 ， 广 域 网 并 不 像 局 域 网 那样 是 由 客户 企业 
所 拥有 的 网 络 ， 它 的 所 有 方 基本 都 是 电信 服务 提供 商 。 于 是 ， 在 工程 技术 人 员 的 实际 交 
流 习 惯 中 ， 人 们 往往 将 那些 运营 商 接 入 企业 /家 庭 中 的 、 不 由 用 户 管理 、 搭 建 和 所 有 的 网 
络 称 为 广域网 ， 哪 怕 它 连接 的 距离 达 不 到 广域网 严格 定义 上 的 地 理 距 离 。 换 名 话说 ， 人 
们 在 谈 到 广域网 时 ， 往 往 侧 重 于 表达 这 个 词 在 网 络 管理 和 所 有 权 方 面 〈 不 属于 用 户 ) 的 
转 义 ， 而 并 不 强调 它 在 地 理 跨度 层面 的 本 意 。 这 一 点 读者 应 该 理解 。 如 图 5-1 所 示 ， 在 
极端 情况 下 ， 尽 管 某 企业 两 座 办 公 楼 之 间 的 距离 只 有 5 公里 ， 但 是 如 果 这 家 企业 回电 信 . 
运营 商 租赁 专线 将 这 两 座 办 公 楼 连接 了 起 来 ， 那 么 技术 人 员 还 是 会 称 运营 商 接 入 办 公 楼 
的 网 络 及 运营 商 内 部 连接 这 两 个 办 公 楼 的 那 部 分 网 络 为 广域网 。 
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图 5-1 实际 交流 中 的 广域网 (WAN) 


广域网 与 局 域 网 的 男 一 大 匡 别 在 于 技术 层面 。 我 们 在 本 系列 教材 的 《网 络 基础 》 中 
就 曾经 提 到 了 一 个 概念 ， 即 网 络 规模 与 底层 技术 之 间 、 piste ppteeneete 
间 存 在 着 一 定 的 联系 。 比 如 ， 局 域 网 中 使 用 的 一 些 底层 技术 只 适合 用 来 连接 相距 较 近 的 
A wm 
同 于 局 域 网 的 技术 。 如 果 说 目前 局 域 网 最 常 使 用 的 物理 连接 方式 是 铜 线 和 光纤 ， 应 用 最 
广泛 的 二 层 技术 是 以 太 网 技术 的 话 ， 那 么 广域网 最 常 使 用 的 物理 连接 方式 除 铜 线 之 外 ， 
还 包括 光纤 、 蜂 请 移 动 电话 网 、 卫 星 通 信和 网 等 ， 而 应 用 于 广域网 的 二 层 (和 三 层 ) 技术 
包括 但 不 限于 DLC、PPP、DDC， 以 及 正在 被 逐渐 淘汰 的 ATM、 帧 中 继 等 。 当 然 ， 造 成 这 
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种 区 分 更 多 是 由 于 一 些 技术 在 实际 使 用 层面 更 适合 用 于 连接 大 范围 网 络 ， 另 一 些 技术 则 
更 适合 用 于 连接 局 域 网 ， 很 少 有 某 项 技术 在 定义 层面 就 限制 了 它 的 使 用 场合 。 实 际 上 ， 
目前 广域网 使 用 以 太 网 作为 二 层 技术 的 应 用 实例 也 可 谓 不 胜 枚 举 。 这 台 像 人 们 在 选择 出 
行 时 也 第 第 会 根据 出 行距 离 选择 出 行 方式 一 样 : 人 们 之 所 以 作出 这 种 选择 是 因为 每 种 出 
行距 离 目 有 比较 适合 这 种 距离 的 出 行 方式 。 毕 竟 ，1 公里 以 内 选择 步行 、1 公里 到 5 公里 
选择 骑 目 行车 出 行 、5 公里 到 50 公里 选择 汽车 出 行 ， 更 长 距离 则 选择 乘 飞 机 出 行 看 上 去 
就 是 最 为 合理 的 选择 。 然 和 而， 这 种 对 应 关系 并 不 是 金 科 玉 律 。 

在 第 5 间 中 ,我 们 会 选择 三 种 广域网 协议 进行 介绍 s 巡 三 个 广域网 协议 分 别 为 HDLC、 
PPP 和 PPPoE。 在 这 三 种 协议 中 ，PPP 借鉴 了 HDLC 的 数据 帧 封装 方式 ， 而 PPPoE 则 是 运 
营 商 为 了 在 以 太 网 环境 中 利用 PPB 成 员 协 议 提 供 的 服务 而 设计 的 协议 。 因 此 ， 我 们 相信 
按照 这 种 顺序 介绍 这 三 种 协议 读者 比较 容易 理解 ， 也 更 容易 举一反三 ， 并 且 能 够 把 了 解 
到 的 内 容 用 于 学 习 其 他 的 广域网 技术 。 


5.2 HDLC 概述 


HDLC 的 全 称 是 高 级 数据 链 路 控制 (High-Level Data Link Contro1l) 。 这 个 协议 是 
国际 标准 化 组 纵 (IS0〉 以 IBM 公司 系统 网 络 架 构 (Systems Network Architecture) 的 
SDLC 协议 作为 基础 开发 出 来 的 协议 。 实 际 上 ， 标 准 的 HDLC 不 仅 可 以 用 于 点 到 点 连接 ， 
也 可 以 用 于 点 到 多 点 连接 的 环境 。 但 是 在 后 来 的 实际 使 用 中 , 人们 很 少 会 将 HDLC 用 于 点 
到 多 点 的 环境 当中 。 现 在 ， 华 为 官方 产品 文档 直接 指出 ， HDLC 协议 只 支持 点 到 点 链 路 ， 
不 支持 点 到 多 点 8。 所 以 ， 读 者 在 实际 工作 环境 中 ， 也 可 以 忽略 将 HDLC 应 用 于 点 到 多 点 
环境 中 的 做 法 。 在 5. 2 节 中 ,我 们 会 对 HDLC 的 基本 原理 进行 简单 的 介绍 ， 并 且 介 绍 在 一 
个 简单 环境 中 使 用 HDLC 协议 建立 串 行 链 路 点 到 点 通信 的 方法 。 


5.2.1 HDLC 的 封 委 与 消息 类 型 


在 华为 路 由 右上， 工作 在 同步 模式 下 的 串 行 Serial) 接口 ， 以 及 逻辑 特性 与 同步 
模式 的 串 行 接口 相同 的 其 他 接口 ,都 文 持 封 逆 HDLC 协议 。 除 此 之 外 ,PoS 接口 也 文 持 HDLC 
- 封 效 。 

?全 样 : 

谓 辑 特性 与 同步 模式 的 串 行 接口 相同 的 接口 包括 《但 不 限于 ) E1 一 F 接口 、T1-F 接 

口 、 基 于 (工作 在 CE1 模式 下 的 ) CE1/PRI 接口 或 基于 (工作 在 CT1 模式 下 的 ) CT1/PRI 


~ Huawei AR120&AR150&AR160&AR200&AR1200&AR2200&AR3200&AR3600 V200R007 产品 文档 : 2602/20626 页 
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接口 创建 出 来 的 串 行 ( Serial ) 接口 等 等 。 读 者 如 果 和 希望 了 解 更 多 与 路 由 器 物理 接口 有 关 
的 内 容 ， 或 者 在 实际 项 目 中 遇 到 与 路 由 器 物理 接口 设置 有 关 的 问题 ， 可 以 参考 该 路 由 器 
产品 的 产品 文档 。 如 果 读 者 购买 的 路 由 器 设备 是 华为 公司 的 产品 ， 也 可 以 使 用 王 达 主 编 
的 《华为 VPN 学 习 指 南 》 进行 参考 。 

IS0 标准 的 了 DLC 协议 封装 的 格式 如 图 5-2 所 示 。 





01111110 | 01111110 | 


如 图 5-2 所 示 ， 在 HDLC 的 封装 中 ， 一 首 一 尾 各 有 一 个 8 位 的 固定 字段 01111110。 
这 个 字段 称 为 标记 CFlag) ， 其 目的 是 提醒 接收 方 数据 帧 的 开始 和 结束 。 在 传输 过 程 中 ， 
只 要 发 送 方 发 送 的 数据 中 包含 了 5 个 连续 的 1， 发 送 方 就 会 在 这 连续 的 5 个 1 后 插入 一 
个 0， 然 后 再 继续 发 送 数据 。 接 收 方 在 连续 接收 到 5 个 连续 的 1 之 后 ， 会 认定 后 面 的 那 
个 0 是 发 送 方 插 入 的 0, 因此 接收 方 在 解 封 装 的 过 程 中 会 自动 忽略 5 个 1 后 面 的 0。 然 而 ， 
一 且 接 收 方 发 现 5 个 连续 的 1 后 面 仍 然 是 1， 那 么 这 表示 要 么 数据 在 传输 过 程 中 出 现 了 
问题 ， 要 么 这 部 分 数据 束 是 数据 帧 前 面 或 后 面 的 标记 字段 。 标 记 字 段 是 可 以 前 后 “拼接 
的 ”， 表 一 个 数据 未 尾 的 标记 字段 可 以 是 后 一 个 数据 前 导 的 标记 字段 ， 如 图 5-3 所 示 。 





控制 





图 5-2 IS0 标准 HDLC 的 封装 





01111110 ”|( 除 标记 部 分 之 外 的 ) 妆 所 由 ollll0 ， ( 除 标 记 部 分 之 外 的 ) 数据 帧 NE 4111110 


图 5-3” 儿 个 连续 的 HDLC 数据 帧 


在 HDLC 数据 帧 中 ， 地 址 字段 的 作 朋 是 标识 这 个 数据 帧 是 一 个 命令 帧 ， 还 是 一 个 响 
应 帧 。 两 台 设 备 通过 HDLC 进行 通信 时 ，HDLC 协议 会 给 双方 各 自分 配 一 个 地 址 。 当 一 台 
设备 接收 到 这 个 数据 帧 时 ， 它 会 查看 数据 帧 的 地 址 学 段 ， 判 断 这 是 自己 的 地 址 还 是 对 端 
的 地 址 。 如 果 是 自己 的 地 址 ， 则 这 个 HDLC 数据 帧 为 一 站 命令 帧 ; 如 果 这 个 数据 帧 的 地 址 
字段 为 对 方 的 地 址 ， 则 这 个 HDLC 数据 帧 为 一 个 响应 帧 % 
根据 IS0 的 定义 ，HDLC 数据 帧 分 为 以 下 三 类 。 
。 信息 帧 (Informatiog.frame) : 简称 为 I 帧 。 信 息 帧 顾名思义 ， 就 是 将 网 络 层 
的 信息 传输 给 对 奖 时 ， 发 送 方 会 封装 的 数据 帧 ; 

。 管理 帧 Supervisory frame) : 简称 $ 帧 。 管 理 帧 的 目的 是 控制 数据 流量 和 执 
行 差 钳 控制 。 管 理 帧 的 目的 是 管理 流量 ， 因 此 管理 帧 本 身 并 没有 负载 信息 。 换 
句 话 说， 管理 帧 中 不 包含 图 5-2 所 示 的 数据 部 分 ; 

。 无 编号 帧 (Unnumbered frame) : 简称 为 U 帧 。 无 编号 帧 用 途 比 较 多 元 ， 链 路 
的 建立 与 断 开 就 需要 通过 发 送 无 编号 帧 来 实现 。 

当 发 送 方 发 送 数 据 帧 时 ， 它 就 会 通过 设置 HDLC 封装 中 控制 字段 的 前 两 位 来 标识 这 
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个 数据 帧 属于 上 述 哪 一 种 类 型 。 如 果 控 制 字段 第 1 位 为 0， 表示 这 个 数据 帧 为 工 帧 ; 如 
果 这 个 数据 帧 的 控制 字段 前 两 位 为 10， 表 示 这 个 数据 帧 为 $ 帧 : 如 果 这 个 数据 帧 的 前 两 
位 为 11， 表 示 这 个 数据 帧 为 无 编号 帧 。 除 此 之 外 ， 控 制 字段 也 会 用 来 标识 这 个 数据 帧 的 
发 送 序号 和 啊 应 序号 。 另 外 ， 控 制 字 段 中 有 一 位 P/F 位 ， 称 为 轮 询 / 终 止 位 ， 接 收 方 会 用 
这 一 位 来 判断 是 否 需要 对 之 前 发 送 的 数据 帧 进行 重 传 。 

曾几何时 ， 通 信 链 路 在 传输 数据 时 出 现 错 误 的 几率 很 高 。 为 了 避免 数据 在 传输 前 后 
出 现 变化 ，HDLC 在 数据 帧 中 定义 了 FCS 字段 。 发 送 方 在 发 送 数 据 帧 时 ， 会 使 用 数据 帧 的 
地 址 字段 、 控 制 字 段 和 数据 部 分 计算 出 一 个 16 位 或 32 售 的 校 验 码 ， 将 计算 的 结果 作为 
FCS 校 验 码 附 禹 在 数据 部 分 后 面 。 当 接收 方 接收 到 数据 帧 时 ， 它 会 对 这 三 部 分 数据 执行 
相同 的 计算 ， 然 后 将 计算 的 结 时 与 发 送 方 提供 的 校 验 人 码 进行 对 比 ， 判 断 数 据 帧 是 否 因为 
链 路 问题 而 在 传输 过 程 中 出 现 了 变化 。 在 前 面 我 们 介绍 标记 位 的 时 候 曾经 提 到 ， 一 旦 接 
收 方 发 现 5 个 连续 的 1 后面 仍然 是 1， 那 么 这 表示 要 么 数据 在 传输 过 程 中 出 现 了 问题 ， 
要 么 这 部 分 数据 就 是 数据 帧 前 面 或 后 面 的 标记 字段 。 当 接收 方 接收 到 6 个 连续 的 1 时 ， 
它 同样 也 可 以 使 用 FCS 校 验 码 来 判断 这 次 出 现 的 6 个 1， 是 否 是 因为 数据 在 链 路 上 出 现 
了 传输 错误 所 致 。 

在 5.2. 1 节 即 将 结束 的 时 候 ， 有 一 点 我 们 必须 进行 说 明 。HDLC 最 初 定义 了 三 种 链 路 
配置 模式 ， 分 别 为 普通 响应 模式 〈 简 称 为 NRM) 、 异 步 响 应 模式 (简称 为 ARM) 和 异步 平 
衡 模式 (简称 为 ABM) 。 然 而 在 HDLC 的 实际 使 用 中 ， 前 两 种 模式 极 少 使 用 。 因 此 5. 2. 1 
节 的 所 有 内 容 ， 都 是 参照 ABM 模式 下 HDLC 的 工作 方式 进行 介绍 的 。 考虑 到 这 种 模式 实际 
上 是 HDLC 唯一 常用 的 模式 ， 因 此 读者 没有 必要 关注 其 他 模式 下 的 HDLC 工作 方式 。 关 于 
HDLC 的 链 路 配置 模式 ， 我 们 在 这 里 不 作 展 开 介绍 。 

在 5.2.1 节 中 , 我们 对 HDLC 的 原理 进行 了 比较 深入 的 说 明 。HDLC 的 实施 非常 简单 ， 
在 5. 2. 2 节 中 ， 我 们 会 对 HDLC 的 实施 进行 介绍 。 


5.2.2 HDLC 的 配置 演示 
在 学 习 了 与 HDLC 相关 的 理论 知识 后 ， 我 们 会 在 5. 2. 2 节 中 演示 如 何在 华为 设备 上 


配置 HDLC 接口 ， 以 及 如 何 修改 与 HDLC 相关 的 参数 。 
在 5. 2. 2 节 中 ， 我 们 会 以 图 5-4 所 示 拓 扑 为 例 演 示 HDLC 的 配置 。 


ARI 192 168.0 2/30 


AR2 
S2/0/0 
S1/0/0 


192.168.0.1/30 
图 5-4 配置 HDLC 的 网 络 环境 





如 图 5-4 所 示 ，AR1 和 AR2 分 别 通过 各 目的 串 行 链 路 接口 S1/0/0 和 S2/0/0 相连 。 
接 下 来 ， 我 们 要 把 这 两 个 接口 使 用 的 封装 类 型 改 为 HDLC， 并 为 其 配置 相应 的 IP 地 址 。 
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例 5-1 中 展示 了 管理 员 将 路 由 噩 AR1 接口 S1/0/70 的 封装 配置 为 HDLC 的 过 程 。 
例 5-1 在 AR1 上 配置 DHCL 封装 
[AR1j interface serial 1/0/0 
[AR1-Seriall/0/0]link-protocol hdlc 


Warning: The encapsulation protocol of the link will be changed. Continue? [Y/N]:y 
Apr 10 2017 01:53:11-08:00 AR1 %%O1l1IFNET/4/CHANGE ENCAP(1)[5|:The user performed 


the configuration that will change the encapsulation protocol of the link and then - 


selected Y. 
[AR1-Seriall/0/0] 
Apr 10 2017 01:53:11-08:00 AR1 %%OlPPP/4/PHYSICALDOWN (1) [6] :On the interface Ser 
iall/0/0, PPP link was closed because the status of the physical layer was Down. 


[AR1-Seriall/0/0] 

Apr 10 2017 01:53:11-08:00 AR1 %%O]lIFNET/A4/LINK STATE(1) [7]:The line protocol PPP on 
the interface Seriall/0/0 has entered the DOWN state. 

[AR1-Serial1/0/0] 

Apr 10 2017 01:53:11-08:00 AR1 %%O01IFPDT/4/IF_STATE(1)[8]:Interface Seriall/0/0 

has turned into DOWN state. 

[AR1-Seriall/0/0] 

Apr 10 2017 01:53:12-08:00 AR1 %%O01IFPDT/4/IF_STATE(1) {9|:Interface serhal1/070 

has turned into UP state. 也 

[AR1-Seriall/0/0] 

Apr 10 2017 01:53:12=08:00 AR1 %%O0Ol1IFNET/4/LINK -二 MATECD 大 本 The line protocol IP on 


the interface Seriall/0/0 has entered 一 全 state. 


[AR2] 
Apr 10 2017 01:53:12- 08:00 AR2 %%O1IENET/4/LINK STATE(1)[5]:The line protocol PPP on 
the interface Serial2/0/0 has entered the DOWN state. 


下 面 ， 让 我 们 逐条 查看 例 5-1 中 展示 的 命令 和 系统 提示 信息 。 首 先 ， 管 理 员 在 AR1 
上 进入 了 接口 S1/0/0 的 视图 中 ， 并 且 使 用 命令 1ink-pratocol hdlc 修改 了 接口 的 封装 
模式 。 在 管理 员 输 入 这 条 命令 后 ， 系 统 会 弹出 告警 信息 ， 并 询问 是 否 继 续 ， 这 时 管理 员 
输入 了 y。 接 着 系统 连续 弹出 了 吉 : 系 列 提示 消息 。 在 下 文中 ， 我 们 分 别 用 阴影 部 分 标 出 
的 编号 来 逐条 对 这 些 提示 信息 进行 解释 。 

15] 这 条 消息 指出 管理 员 输 入 了 修改 链 路 封装 协议 的 命令 ， 并 选择 了 Y: 

[6] 这 条 消息 指出 S1/0/0 接口 的 PPP 链 路 关闭 了 ,原因 是 物理 层 Down。 这 是 因为 华 
为 设备 串 行 链 路 接口 的 默认 封装 模式 为 PPP; 

[7] 这 条 消息 指出 S1/0/0 接口 的 PPP 协议 进入 了 DOWN 状态 ; 

[8] 这 条 消息 指出 5S1/0/0 接口 进入 了 DOWN 状态 ; 

[9] 这 条 消息 指出 5S1/0/0 接口 重新 进入 UP 状态 ; 
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[10] 这 条 消息 指出 S1/0/0 接口 的 线路 协议 进入 了 UP 状态 。 

与 此 同时 ，AR2 上 弹出 了 系统 消息 ， 指 出 S2/0/0 接口 的 PPP 协议 进入 了 DOWN 状态 。 
接 下 来 ， 我 们 继续 在 AR2 上 修改 S2/0V0 接口 的 封装 ， 详 见 例 5-2。 

例 5-2 在 AR2 上 配置 DHCL 封装 

[AR2] interface serial 2/0/0 

[AR2-Serial2/0/0]link-protocol hdlc 

Warning: The encapsulation protocol of the link will be changed. Continue? [Y/Nj]:y 

Apr 10 2017 02:08:58-08:00 AR2 %%01IFNET/4/CHANGE_ENCAP(1) [6] :The user performed 

the configuration that will change the encapsulati 哟 protocol of the link and then 
selected Y， 

[AR2-Serial2/0/0] 各 

Apr 10 2017 02:08:58-08:00 AR2 %%O1IFPDT/A/IF_STATE(1) [7] :Interface Serial2/0/0 

has turned into DOWN state, | 

[AR2-Serial2/0/0] 

Apr 10 2017 02:08:58-08:00 AR2 %%Ol1IFPDT/4/IF_STATE(]1) [8]:Interface Serial2/0/0 

has turned into UP state. | 

[AR2-Serial2/0/0J 

Apr 10 2017-02:08:58-08:00 AR2 %%O1IFNET/4/LINK_STATE(1) [9] :The line protocol IP on the 
interface Serial2/0/0 has entered the UP state. 

在 我 们 把 AR2 接口 S52/0/0 的 封装 模式 也 修改 为 HDLC 后 , $2/0/0 也 经 历 了 类 似 的 状 
态 变迁 ， 并 最 后 进入 协议 UP 状态 。 放 

例 5-3 以 AR1 为 例 ， 展 示 了 接口 S1/0/0 的 状态 。 

例 5-3 查看 AR1 接口 S1/0/0 的 状态 

[AR1jdisplay interface s1/0/0 

Seriall/0/0 -current state : UP 


Line protocol current state : UP 

Last line protocol up time : 2017-04-10 02:08:31 UTC=-08:00 
Description:HUAWEI, AR Series, Seriall/0/0 Interface 

Route Port, The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet protocol processing : disabled 

Link layer protocol is nonstandard HDLC 

Last physical up time : 2017-04-10 02:08:31 UTC-08:00 

Last physical down time : 2017-04-10 02:08:30 UTC-08:00 

Current System time: 2017-04-10 02:23:11-08:;00 

Physical layer is synchronous, Virtualbaudrate is 64000 bps 
Interface is DTE, Cable type is Vll, Clock mode is TC 

Last 300 seconds input rate 1 bytes/sec 8 bits/sec 0 packets/sec 
Last 300 seconds output rate 0 bytes/sec 0 bits/sec 0 packets/sec 
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Input: 172 packets，6816 bytes 


Broadcast: 0， 
Errors: 0， 
Giants: 0， 
Alignments: 0, 
Dribbles: 0， 
No Buffers: 0， 


Multicast: 
Runts: 
GRG: 0 


OQverruns: 
Aborts: 


Frame Error: 


OQutput: 114 packets, 2402 bytes 


Total Error: 0, Overruns: 0 
Collisions: 0, Deferred: 0 
Input bandwidth utilization : 0% 
Output bandwidth utilization : 0% 


从 例 5-3 中 的 阴影 行 我 们 可 以 看 出 , AR1 接口 S1/0/0 的 封装 模式 已 经 成 功 修改 为 了 


HDLC。 


接 下 来 ， 为 了 实现 两 台 路 由 器 之 间 的 三 层 通信 ,我们 在 两 个 接口 上 配置 IP 地 址 ， 


如 例 5-4 所 示 。 


例 5-4 在 两 台 路 由 器 上 配置 IP 地 址 并 测试 


EARI] jnterfaceé serial 1/0/0 
[AR1-Seriall/0/0]ip address 
[AR2] interface serial 2/0/0 
[AR2-Serial2/0/0]ip address 
[AR2-Serial2/0/0]quit 
[AR2|ping 192. 168.0.1 


192. 168. 0. 1 255. 255. 255. 2502™ 


192. 168. 0: 2 255. 258. 255. 252 


z PING 192. 168.0.1: 56 data bytes, press CTRL C to break 


Reply from 192. 168. 0.1: 
Reply from 192. 168.0, 1: 
Reply from 192. 168. 0. 1: 
Reply from 192. 168. 0. 1 : 
Reply from 192. 168. 0. 1: 


bytes=56 Sequence=1l ttl: =255 time=]170 ms 
bytes=56 Sequence=2 ttli255 time=40 ms 
bytes=56 Sequence=3 ttl3R55 time=30 ms 
bytes=56 Sequence=4 ttl=255 time=40 ms 
abytes= 56 Sequence=5 tt1=255 time=40 ms 


——— 192. 168. 0.1 ping statistics -一 


5 packet(s) transmitted 
5 packet (s) received 
0. 00% packet loss 


round-trip min/avg/max = 30/64/170 ms 


在 示例 5-4 中 ， 我 们 分 别 在 AR1 的 接口 S1/0/0 和 AR2 的 接口 S2/0/0 上 配置 了 IP 


地 址 ,并 在 AR2 上 向 AR1 发 起 了 


ping 测试 , 测试 结 末 表明 现在 这 两 合 路 由 堆 之 间 可 以 进 
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行 正 第 通 信 。 
HDLC 轮 询 时 间 
HDLC 协议 会 通过 存活 (Keepalive) 消息 来 检测 链 路 当前 的 状态 ， 设 备 会 按照 HDLC 
状态 轮 询 定时 玲 设 定 的 轮 询 时 间 间 隔 ， 有 规律 地 发送 存活 消息 。 管 理 员 可 以 根据 上 自己 网 
络 中 的 情况 来 按 需 修改 这 个 参数 。 如 果 网 络 链 路 上 的 延迟 比较 大 ， 或 者 链 路 上 的 拥塞 程 
度 比 较 高 ， 管 理 员 束 可 以 适当 延长 轮 询 的 时 间 间 隔 ， 防 止 网 络 中 产生 链 路 震 渐 。 轮 询 时 
间 过 长 或 过 短 都 有 一 定 的 负面 影响 ， 如 果 轮 询 时 间 间 隅 过 长 ， 那 么 链 路 中 出 现 故 障 时 ， 
设备 检测 到 故障 的 时 间 就 会 比较 晚 ， 反之 ， 如 果 轮 询 时 间 而 隅 过 敌 ， 则 会 增加 设备 的 负 
担 ， 同 时 也 会 占用 更 多 的 链 路 市 宽 。 因 此 选择 一 个 恰当 的 HDLC 轮 询 时 间 ， 是 需要 根据 不 
同 的 网 络 情况 进行 分 析 的 ， 轮 询 上 时间 默认 为 10s。 管 理 员 可 以 使 用 接口 视图 命令 timer 
hold seconds 来 设 定 HDLC 轮 询 时 间 ， 轮 询 时 间 的 取 值 范围 是 0 一 32768， 单 位 是 s。 在 
例 5-5 中 ， 我 们 更 改 了 两 台 路 由 器 接口 上 的 HDLC 轮 询 时 间 。 
例 5-5 在 两 台 路 由 器 上 调整 HDLC 轮 询 时 间 并 验证 
[ARl |]interface serial 1/0/0 
[AR1~Seriall/0/0]timer hold 50 | 
[AR2] interface 'serial 2/0/0 
[AR2-Serial2/0/0]timer hold 50 
[AR2]display interface Se 2/0/0 
Serial2/0 人 /0 current state : UP ~ 
Line protocol current state : UP 
Last line protocol up time : 2017-04-10 02:08:58 UTC-08:00 
Description:HUAWEI, AR Series; Serial2/0/0 Interface 
“Route Port, The Maximum Transmit Unit is 1500, Hold timer is 50(sec) 
‘Internet Address is 192. 168.0.2/30 
Link layer protocol 1is nonstandard HDLC 
Last physical up time “: 2017-04-10 02:08:58 UTC-=08:00 
Last physical down time : 2017-04-10 02:08:58 UTC-08:00 
Current System time: 2017-04=10 03:21:27-08:00 
Physical layer is synchronous, Virtualbaudrate is 64000 bps 
Interface is DTE, Cable type is Vll, Clock mode is TC 
Last 300 seconds input rate 0 bytes/sec 0 bits/sec 0 packets/sec 
' Last 300 seconds eutput rate 0 bytes/sec 0 bits/see 0 packets/sec 


Input: 425 packets, 20054 bytes 


Broadcast: 0 Wtidast: 0 
Errors: 0. ! Rounts: 0 
Giants: 1 ed 0 0 
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Alignments: 0, OQverruns: 0 
Dribbles: 0, Aborts: 0 
No Buffers: 0, Frame Error: 0 


OQutput: 516 packets, 13204 bytes 


Total Error: 0, OQverruns: 0 
Collisions: 0, Deferred: 0 
Input bandwidth utilization : 0% 
OQutput bandwidth utilization : 0% 


在 例 5-5 中 ， 我 们 修改 了 ARl 和 AR2 上 相应 接口 下 的 HDLC 轮 询 时 间 ， 并 在 AR2 上 
通过 命令 display interface serial 2/0/0 查看 了 这 个 参数 的 变更 结果 ， 修 改 的 结果 
如 阴影 行 部 分 所 示 。 

在 5.2 节 中 ， 我们 对 HDLC 进行 了 简单 的 介绍 ， 同 时 演示 了 如 何 将 串 行 接口 的 封装 
协议 修改 为 HDLC。 在 例 5-1 下 面 的 说 明文 字 中 ， 我们 也 曾经 提 到 ， 如 果 不 修改 串 行 接口 
的 封装 协议 ， 那 么 华为 设备 串 行 链 路 接口 会 默认 使 用 PPP 协议 来 执行 数据 包 的 封装 。 在 
5. 3 节 中 ， 我 们 就 来 介绍 一 下 华为 设备 串 行 接口 默认 执行 的 封装 协议 一 一 PPP。 


sad =PPP WW 


\ 


or 


我 们 在 5. 2. 2 节 中 介 绍 的 HDLC 协议 ， 是 面向 比特 的 数据 链 路 控制 协议 的 由 型 代表 ， 
而 我 们 在 5. 3 节 中 要 介绍 的 PPP 是 面向 字符 的 协议 .PPP 协议 是 在 RFC 1055 定义 的 sSLIP 
协议 的 基础 上 开发 出 来 的 。RFC 1055 SHE 的 全 称 古 串 行 线路 互联 网 协议 (Serial Line 
Internet Protocol) 。 顾 名 思 义 ， 这 个 协议 的 开发 初衷 就 是 对 IP 数据 包 进 行 封 装 ， 让 
IP 数据 包 能 够 通过 串 行 线路 和 调制 解 调 器 线路 进行 传输 。PPP 协议 对 RFC 1055 SLIP 协 
议 的 一 些 限制 进行 了 改进 ， 汉王 展 机 包 插 区 5 1068 寻 正 只 ! 文 持 异 步 传输 ， 同 时 只 文 持 
以 IPv4 作为 网 络 层 的 通信 协议 。 

机 可 同和 二， 它 不 公 业 村 导 步 估 辣 ， 也 二 插 和 和， 水仙 大同 
以 运行 在 大 量 不 同类 型 的 接口 和 链 路 上 ， 而 且 可 以 支持 各 类 网 络 层 协议 。 此 外 ，PPP 协 
议 也 在 SLIP 协议 的 基础 上 增加 了 校 验 机 制 、 (可 选 的 ) 认证 机 制 和 连接 协商 机 制 。 这 些 
机 制 可 以 提升 传输 的 可 靠 性 与 安全 性 。 鉴 于 PPP 协议 比 SLIP 更 加 普 适 、 更 加 可 靠 也 更 加 
安全 ， 因 此 SLIP 现在 基本 已 经 被 PPP 协议 所 取代 。 

PPP 协议 的 原理 比较 复杂 ， 用 两 节 的 内 容 来 换 述 略 显 不 足 。 在 接 下 来 的 内 容 中 ， 我 
们 会 用 尽 可 能 简单 的 方式 来 描述 PPP 的 工作 原理 。 


”RFC 中 包含 了 不 止 一 个 名 为 串 行 线路 互联 网 协议 (Serial Line Internet Protocol) 的 协议 ， 因 此 我 们 需要 这 里 
通过 RFC 编写 指出 PPP 参照 的 具体 是 哪个 SLIP 协议 。 
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5.3.1 PPP 原理 


PPP 协议 的 封装 方式 在 很 大 程度 上 参照 了 HDLC 协议 的 规范 , 但 PPP 协议 明确 了 数据 
巾 中 很 多 字段 的 取 值 。PPP 协议 的 数据 帧 封装 格式 如 图 5-5 所 示 。 


标记 地 址 | 标记 
攻 攻 | 


图 5-5 PPP 的 封装 格式 “过 





如 图 5-5 所 示 , PPP 协议 原 原 林 本 地 使 用 了 HDLC 协议 封装 中 的 标记 字段 和 FCS 校 验 
码 字段 ， 忘 记 了 这 两 个 字段 作用 的 读者 可 以 复习 5. 2. 1 节 (HDLC 的 封装 与 消息 类 型 ) 。 
此 外 ， 鉴 于 PPP 协议 纯粹 是 一 种 应 用 于 点 到 点 环境 中 的 协议 ， 任 何 一 方 发 送 的 消息 都 只 
会 由 固定 的 男 一 方 接收 并 且 处 理 ， 地 址 学 段 存在 的 意义 已 经 不 大 ， 因 此 PPP 协议 地 址 字 
段 的 取 值 以 全 1 的 方式 被 明确 下 来 ， he et 的 所 有 接口 。 最 后 ，PPP 控制 字段 
的 取 值 也 被 明确 为 了 0x03。 

然而 ，PPP 协议 的 封装 也 与 HDLC 协议 出 现 了 一 点 区 别 ， 那 就 是 PPP 协议 在 封装 字段 
中 添加 了 协议 字段 。 这 个 协议 字段 在 功能 上 与 IPv4 协议 头 部 的 协议 字段 基本 一 致 ,其 目 
的 都 是 为 了 标识 这 个 数据 帧 的 消息 负载 是 使 用 什么 协议 进行 封装 的 。 

为 了 能 够 适应 更 加 广泛 的 物理 介质 和 网 络 层 传输 协议 ，PPP 协议 采用 了 分 层 的 体系 
结构 。 这 个 体系 架构 的 上 层 是 网 络 控制 协议 (Network Control Protocol，NCP) ，NCP 
的 作用 是 为 网 络 层 协议 IPv4、IPv6、IPX、AppleTalk 等 协商 和 配置 参数 。NCP 协议 并 

一 个 特定 的 协议 ， 而 是 指 PPP 架构 上 层 中 一 系列 控制 不 同 网 络 层 传输 协议 的 协议 
忆 称 ， 各 类 不 同 的 网 络 层 协议 都 有 一 个 对 应 的 NCP 协议 ,譬如 IPv4 协议 对 应 的 是 IPCP 
协议 、IPv6 协议 对 应 的 是 IPv6CP、IPX 协议 对 应 的 是 IPXCP、AppleTalk 协议 对 应 的 是 
ATCP 等 。NCP 协议 下 面 是 链 路 控制 协议 (Link Control Protocol，LCP) ， 链 路 控制 
协议 的 作用 是 发 起 、 监 挖 和 终止 连接 ， 通 过 协商 的 方式 对 接口 进行 自动 配置 ， 执 行 身 
份 认证 等 。 

需要 指出 的 是 , NCP 和 LCP 的 上 下 层 关 系 体现 在 PPP 连接 的 协商 与 建立 阶段 的 层面 。 
这 也 就 是 说 ， 在 两 台 设 备 要 通过 PPP 协议 在 一 条 串 行 链 路 上 传输 数据 之 前 ， 它 们 需要 首 
先 通 过 LCP 协议 来 协商 建立 数据 链 路 ， 然 后 再 通过 NCP 协议 来 协商 网 络 层 的 配置 。 请 读 
者 不 要 因为 这 种 上 下 层 关 系 就 误 以 为 一 个 IPv4 数据 包 会 逐 层 封装 上 IPCP 头 部 和 LCP 头 
部 。 实 际 上 ， 在 上 面 所 说 的 这 两 个 阶段 中 ，NCP 消息 和 LCP 协议 都 会 封装 在 图 5-5 所 示 
的 PPP 数据 帧 中 ， 人 质 对 PPP 数据 帧 执行 成 帧 。 下 面 ， 我 们 
首先 来 简单 介绍 一 下 两 台 设 备 通过 LCP 协商 建立 数据 链 路 的 过 程 。 
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注 泽 : 

如 果 PPP 数据 帧 中 封装 的 是 IPCP 消息 ， 则 PPP 数据 帧 的 协议 字段 取 值 为 0x8021; 
如 果 PPP 数据 帧 中 封装 的 是 LCP 消息 ， 则 PPP 数据 帧 的 协议 字段 取 值 为 0xc021。 

简 而 言 之 , 在 协商 建立 数据 链 路 的 这 个 阶段 ， 设 备 会 提出 自己 所 有 期 待 的 配置 参数 ， 
然后 等 待 对 方 回复 是 否 接受 。 如 果 接 受 就 一 切 顺利 ， 但 如 果 不 接受 ， 则 修改 某 些 参数 后 
再 次 协商 ， 如 图 5-6 所 示 。 





RTF RTM 













年 对 卫 个 的 期待: 
生 攻 过 亿 、 布 加 迪 威 龙 、 在 加 时 凡 ye 
究 月 放行 去 太空 、 在 深 训 市 中 心 共 洛 有 稚 人 小 入 


yl 三 居室 这 个 条 件 太 高 了 ， 咱 再 商 量 商量 行人 
开 对 配偶 的 期 待 : 


f te Ls 在 力 
守 月 旅行 去 太宰 、 在 中 区 有 私人 晓 海 有 私人 小 岛 、 





OK， 这 个 可 以 


图 5-6 LCP 协商 过 程 示意 (搞笑 版 ) 


具体 来 说 , 路 由 器 问 串 行 链 路 对 端 设备 提出 目 己 所 有 期 每 配置 参数 的 消 奶 , 称 为 LCP 
配置 请 求 (Configure-Request) 消息 。 既 然 是 LCP 配置 请 求 消息 ， 当 然 是 封闭 在 LCP 
头 痢 之 内 。LCP 头 部 定义 了 代码 (1 字 节 ) 、 标 识 符 4C1 字 节 ) 和 长 度 (2 字 节 ) 三 个 
字段 。 当 代码 字段 的 取 值 为 1 时 ， 即 标识 这 个 LCP 消息 为 配置 请 求 消息 ; 标识 符 字段 
的 作用 是 标识 这 个 消息 是 对 哪个 LCP 消息 的 啊 应 ; 而 长 度 字段 的 作用 则 是 标识 这 个 LCP 
消息 数据 部 分 的 长 度 。 在 LC 谨 配置 请 求 消 息 的 数据 部 分 ， 设 备 需 要 提出 目 己 所 有 期 待 
的 配置 参数 。 这 些 配置 参数 都 会 封装 在 一 个 LCP 配置 请 求 消息 中 发 送 给 对 疹 。 当 然 ， 
这 些 期 待 必然 不 是 图 5-6 中 所 示 的 那些 经 济 奶 求 。 根 据 LCP 协议 的 定义 ， 目 前 设备 可 
以 在 LCP 配置 请 求 中 协商 7 种 不 同 的 配置 参数 ， 其 中 包括 (但 不 限于 ) 最 大 接收 单元 、 
认证 协议 、 协 议 字 段 压缩 等 。 如 果 一 个 配置 请 求 消 奶 没 有 包含 所 有 LCP 定义 为 可 以 协 
商 的 参数 ， 那 么 对 端 会 认为 消息 发 送 方 布 望 对 没有 在 消息 中 提出 协商 的 参数 保留 默认 
操作 。 

图 5-7 所 示 为 一 个 LCP 配置 请 求 消息 的 示例 。 
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注 猴 : 


为 了 简洁 起 见 ， 所 有 固定 取 值 的 字段 我 们 都 使 用 了 十 六 进 制 进行 表示 。 





标记 | 地 址 | 控制 | 协议 | 代码 | 标 ; 标记 
PPP 头 部 | LCP 头 部 PPP 尾部 | 


图 5-7 LCP 配置 请 求 消息 的 封装 


在 接收 到 LCP 配置 请 求 消息 之 后 ， 如 果 对 端 接受 所 有 参数 ， 则 会 回复 配置 确认 
(Configure-Ack) 消息 《配置 确认 消息 的 代码 全 为 2) ; 如 果 对 跨 认为 其 中 茶 些 参数 不 
可 接受 ， 则 会 回复 配置 否认 (Coqfigure Nak) 消 且 《配置 否认 消息 的 代码 值 为 3) ; 如 
果 对 端 认为 其 中 茶 些 参数 无 法 识别 ， 则 会 回复 配置 拒绝 (Configure-Reject) 消息 ( 配 
置 拒绝 消息 的 代码 值 为 4) 。 除 此 之 外 ，LCP 还 定义 了 另外 7 种 消息 类 型 ， 包 括 中 断 请 求 
(Terminate-Request) 消息 (代码 值 为 5〉 、 中 断 确 认 (“Terminate-Ack) 消息 〈 代 人 码 值 
为 6) 、 代 码 拒绝 (Code-Reject) 消 县 《代码 值 为 7) 、 协 议 拒 绝 (Protocol-Reject) 
消息 (代码 值 为 8) 、Echo-Request 消息 (代码 值 为 9) 、Echo-Reply 消息 《代码 值 为 
10) 和 丢弃 请 求 (Discard-Request) 消息 《代码 值 为 11) ， 这 些 消息 与 LCP 协议 提供 
的 链 路 断 开 服务 与 链 路 维护 服务 相关 ， 这 里 不 再 一 一 介绍 。 


本 书 对 Echo-Request 消息 和 Echo-Reply 消息 一 概 保 留 原 文 ， 不 作 译 出 。 


”但 我 们 在 这 里 必须 说 明 的 是 ，LCP 协商 的 过 程 是 双 回 的 。 换 言 之 ， 点 到 点 链 路 每 一 端的 
设备 都 需要 癌 对 方 发 送 配置 请 求 消息 。 链 路 建立 阶段 顺利 完成 的 前 提 是 ,双方 都 接收 到 了 对 
方 发 送 的 配置 确认 消息 。 即 使 傈 一 方 已 经 对 对 方 发 送 的 配置 请 求 消息 回复 了 配置 确认 消息 ， 
它 还 是 需要 癌 对 方 发 送 配置 请 求 消息 来 征求 对 方 的 确认 。 所 以 , 最 顺利 的 数据 链 路 建立 阶段 
的 协商 ， 是 双方 各 目 发 送 了 一 条 配置 请 求 消息 和 一 条 配置 确认 消息 ， 如 图 5-8 所 示 。 
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LCP 配置 确认 消 筷 
LCP 配置 请 求 消息 


一 一 一 一 CP 生 反 确认 消息 


图 5-8 最 简 LCP 协商 过 程 
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在 前 文中 我 们 曾经 提 到 ，LCP 协商 的 配置 参数 包括 认证 协议 。 如 果 双 方 中 的 某 一 方 
要 求 执 行 认证 ， 那 么 在 链 路 建立 阶段 之 后 ， 双 方 就 需要 开始 进行 认证 。 关 于 这 部 分 内 
容 ， 我 们 留待 5. 3. 2 节 中 再 进行 介绍 ， 这 里 暂且 略 过 不 提 ， 只 考虑 双方 没有 采用 认证 
的 情形 。 如 果 不 执行 认证 ， 那 么 在 链 路 建立 阶段 结束 之 后 ，PPP 就 会 开始 通过 上 层 协 议 
对 应 的 NCP 来 协商 上 层 协议 的 配置 参数 。 这 个 过 程 与 LCP 协商 大 同 小 异 ， 下 面 我 们 以 
上 层 协议 为 IPv4 协议 为 例 , 简单 说 明 一 下 双方 通过 IPCP 协议 协商 IP 协议 配置 参数 的 

与 LCP 相同 ，IPCP 协商 的 过 程 也 是 双 同 的 。 此 外 ， 双 方 设备 同样 也 是 借助 配置 请 求 
消息 提出 自己 期 待 的 IPv4 协议 配置 参数 。 如果 对 端 接 受 配置 请 求 消息 中 提出 的 参数 ， 则 
会 回复 配置 确认 (Configure-Ack) 消息 ; 如 果 对 端 认 为 其 中 某 些 参数 不 可 接受 ， 则 会 回 
复 配 置 否认 (Configure-Nak) 消息 ， 如 图 5-9 所 示 。 
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图 5-9 最 简 IPCP 协商 过 程 


不 仅 协商 过 程 类 似 ，iPCP 定义 的 数据 封装 格式 与 消息 类 型 也 与 LCP 协议 基本 相同 。 
所 以 ， 封 装 IPCP 配置 请 求 消息 的 IPCP 头 部 ， 同 样 包含 了 代码 〈1 字 节 ) 、 标 识 符 (1 
字 节 ) 和 长 度 (2 字 节 ) 三 个 字段 。 当 代码 字段 的 取 值 为 1 时 ， 即 标识 这 个 IPCP 消息 为 
配置 请 求 消息 ; 代码 字段 取 值 为 2、3、4、5、6、7 则 同样 依次 对 应 了 IPCP 协议 的 配置 
确认 (Configure-Ack) 消息 、 配 置 否认 (Configure-Nak) 消息 、 配 置 拒 绝 (Configure- 
Reject) 消息 、 中 断 请 求 (Terminate-Request) 消息 、 中 断 确 认 (Terminate-Ack) 消 
息 和 代码 拒绝 (Code-Reject) 消息 。 图 5-10 所 示 为 一 个 IPCP 配置 请 求 消息 的 示例 。 
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标记 | 地 址 | 控制 | 协议 | 代码 | 奈 训 名 标记 
PPP 头 部 IPCP 头 部 | 


图 5-10 ”IPCP 配置 请 求 消息 的 封装 


无 论 IPCP 与 LCP 协议 有 多 么 类 似 ，IPCP 毕竟 负责 协商 的 是 IP 协议 的 配置 参数 ， 因 
此 它 协 商 的 配置 参数 势必 不 同 于 LCP。 实 际 上 , IPCP 需要 协商 的 配置 参数 包括 消息 的 PPP 
和 IP 头 部 是 否 压 缩 、 使 用 什么 算法 进行 压 给 ， 以 及 PPP 接口 的 IPv4 地 址 。 通 过 IPCP 
协商 IPv4 的 方式 包括 了 两 种 情形 : 一 种 情形 是 发 送 配置 请 张 的 设备 在 配置 请 求 消息 中 扒 
带 上 自己 接口 的 IPv4 地 址 ， 让 对 并 验证 是 否 可 以 使 用 这 个 IPv4 地 址 来 与 其 通信 一 一 这 种 
参数 协商 与 其 他 参数 协商 在 逻辑 卡 没 有 任何 差别 ， 因 此 这 里 不 作 效 述 ， 另 一 种 情形 是 发 
送 配 置 请 求 的 设备 在 配置 请 求 消息 中 携带 一 个 全 0 的 IPv4 地 址 ,让 对 羡 设 备 为 目 己 提供 
一 个 IPv4 地 址 。 此 时 ， 对 端 设备 会 通过 IPCP 配置 否认 (Configure-Nak) 消息 为 其 提供 
一 个 IPv4 地 址 。 在 接收 到 这 个 IPv4 地 址 之 后 ， 发 送 配置 请 求 的 设备 会 再 次 发 送 一 个 配 
置 请 求 消息 , 并 且 在 消息 中 携带 对 端 刚 刚 通过 配置 否认 消息 提供 的 这 个 IPv4 地 址 ， 供 对 
端 验 证 是 否 可 以 使 用 这 个 IPv4 地 址 来 与 其 通信 。 因 此 ， 在 IPCP 协商 阶段 ，PPP 接口 可 
以 实现 IPv4 地 址 的 动态 配置 。 在 NCP 协商 完成 之 后 , 双方 设备 就 可 以 通过 这 条 PPP 链 路 
实现 网 络 层 的 通信 了 。 

当然 ，LCR 和 NCP 协议 既然 负责 连接 的 建立 ， 一 定 也 会 负责 连接 的 断 开 ; 实际 上 ， 
我 们 在 前 面 的 内 容 中 就 已 经 提 到 过 ，LCP 和 IPCP 协议 各 自 定 义 了 连接 中 断 的 请 求 消息 
(Terminate-Request ) 与 确认 (Terminate-Ack) 消息 。 不 过 ， 考 虑 到 链 路 中 断 的 流程 与 
链 路 建立 的 最 简 流 程 相当 雷同， 我 们 在 这 里 不 再 进行 葡 述 。 

在 5. 3. 1 节 中 ， 我 们 用 最 简单 的 逻辑 介绍 了 PPP 协议 为 点 到 点 链 路 双方 建立 通信 的 
过 程 。 在 5. 3. 2 节 中 ， 我 们 会 介绍 PPP 协议 文 持 的 两 种 认证 方式 ， 以 及 PPP 认证 的 一 方 
或 双方 提出 需要 执行 认证 时 ， 设 备 会 执行 的 操作 方式 。 





5.3.2 PPP 认证 


PPP 支持 两 种 认证 协议 ， 这 两 种 认证 协议 分 别 为 PAP 和 CHAP。5. 3. 1 节 也 介绍 过 ， 
在 LCP 链 路 建立 的 协商 阶段 ， 双 方 设 备 会 就 是 否 执行 认证 、 采 用 什么 协议 执行 认证 进行 
协商 。 如 果 其 中 一 方 或 者 双方 在 LCP 数据 链 路 建立 阶段 提出 需要 执行 认证 ， 那 么 PPP 协 
议 就 会 在 开始 执行 NCP 协商 之 前 完成 喘 份 认证 。 如 果 映 份 认证 成 功 ， 双 方 设 备 再 开始 执 
行 NCP 协商 。 如 果 喘 份 认 证 失败 ， 则 链 路 进入 中 断 〈Termination) 状态 。 

在 两 种 认证 协议 中 ，PAP 的 逻辑 比较 简单 。PAP 的 全 称 是 密码 认证 协议 (Password 
Authentication Protocol) ， 它 就 是 一 种 单纯 的 明文 密码 认证 协议 。 如 果 希 望 被 认证 设 
备 在 发 起 认证 后 ， 能 够 通过 认证 方 的 认证 ， 管 理 员 需要 事先 在 被 认证 设备 上 预 配置 与 认 
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证 方 相同 的 用 户 名 和 密码 。 在 进行 认证 时 ， 被 认证 方 会 使 用 管理 员 事 先 配置 的 用 户 名 和 
密码 , 认证 方 根据 被 认证 方 提供 的 用 户 名 和 密码 是 否 与 自己 配置 的 用 户 名 和 密码 相 一 致 ， 
来 判断 是 接受 还 是 拒绝 。 在 这 个 过 程 中 ， 认 证 信息 都 是 以 明文 的 形式 进行 发 送 的 。 

具体 来 说 ，PAP 协议 (协议 值 为 0xc023) 定义 的 封装 字段 也 与 上 面 的 LCP 和 IPCP 
相同 。 而 且 ，PAP 协议 也 是 通过 将 不 同类 型 的 消息 封装 在 PPP 数据 帧 中 并 且 发 送 给 对 
站 的 方式 ， 来 交互 认证 信息 的 。PAP 协议 定义 了 3 种 类 型 的 消息 ， 即 认证 请 求 
(Authentication Request) 消息 (代码 值 为 1) 、 认 证 确认 (Authentication-Ack) 消 
奶 〈 代 码 值 为 2〉 和 认证 否认 (Authentication-Nak) 消息 (代码 值 为 3) 。 其 中 ， 认 证 
请 求 消息 的 封装 ， 如 图 5-11 所 示 。 


标记 | 地 址 | 控制 | 协议 代码 | 标 ; 标记 





PPP 头 部 PPP 尾部 
图 5-11 PAP 认证 请 求 消息 的 封装 


在 LCP 数据 链 路 建立 阶段 ， 如 果 一 方 需要 对 另 一 方 进行 认证 ， 那 么 在 链 路 建立 成 功 
之 后 , 被 认证 方 就 会 将 一 个 如 图 5-11 所 示 的 PAP 认证 请 求 消 息 发 送 给 认证 方 。 认 证 方 在 
接收 到 被 认证 方 发 来 的 认证 请 求 消息 之 后 ， 会 用 认证 请 求 消息 数据 部 分 中 携带 的 密码 与 
管理 员 在 自己 本 地 配置 的 密码 进行 比 对 。 如 果 一 致 ， 那 么 认证 方 就 会 向 被 认证 方 发 送 认 
证 确认 消息 ， 表 示 PPP【〈 在 这 个 方向 上 ) 认证 成 功 。 和 否则 ， 认 证 方 则 会 癌 被 认证 方 发 送 
认证 否认 消 县 ， 于 是 链 路 就 会 进入 中 断 (Termination) 状态 ， 上 述 过 程 如 图 5-12 所 示 。 
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PAP 协议 的 缺陷 很 明显 ， 那 就 是 PAP 采用 的 这 种 通过 明文 发 送 用 户 名 和 密码 的 方式 
容易 被 网 络 中 的 “ 嗅 探 者 们 ”利用 。 任 何人 只 要 抓 取 到 PAP 认证 请 求 消息 ， 都 可 以 清晰 
地 看 到 消息 中 携带 的 用 户 名 和 密码 ， 于 是 也 可 以 使 用 相同 的 用 户 名 和 密码 来 通过 认证 。 
有 鉴于 此 , 我 们 推荐 读者 如 果 启 用 PPP 认证 , 那么 就 应 该 考虑 在 设备 可 以 支持 CHAP 认证 
的 前 提 下 ， 选 择 CHAP 作为 PPP 认证 协议 。 

CHAP 协议 (协议 值 为 0xc223) 定义 的 封装 字段 也 与 上 和 面 的 PAP 协议 相同 。CHAP 协 
议定 义 了 4 种 类 型 的 消息 ,分别 为 挑战 (Challenge) 消 息 ( 代 码 值 为 1)、 响 应 (Response) 
消息 〈《 代 码 值 为 2〉 、 成 功 (Success) 消 鼠 〈 代 码 值 为 :总 和 失败 (Failure) 消息 〈 代 
码 值 为 4) 。 下 面 ， 我 们 结合 这 几 种 消息 类 型 ， 人 简单 说 明 一 下 CHAP 协议 是 如 何 更 加 安全 
地 实现 认证 的 。 四 

CHAP 全 称 为 挑战 握手 认证 协议 (Challenge-Handshake Authentication Protocol ) 。 
在 消息 发 送 的 流程 上 , 如 果 说 PAP 是 被 认证 方 送 上 门 去 的 认证 , 那么 CHAP 就 是 认证 方 找 
上 门 来 的 认证 。 在 LCP 数据 链 路 建立 阶段 ， 如 果 一 方 需要 对 男 一 方 进行 认证 ， 那 么 在 链 
路 建立 成 功 之 后 ， 认 证 方 就 会 回 被 认证 方 发 出 十 个 挑战 (Challenge) 消息 ,消息 的 数据 
部 分 携带 一 个 称 为 挑战 值 (Challenge Value) 的 随机 数 。 被 认证 方 在 接收 到 挑战 消息 之 
后 ， 使 用 认证 方 通过 挑战 消息 发 送 过 来 的 挑战 值 (Challenge Value) 和 PAP 头 部 的 标识 
符 字 段 的 值 ( 见 图 5-11) ， 再 加 上 自己 本 地 预 配置 的 密码 ， 执 行 MD5 散 列 运算 ， 然 后 将 
运算 结果 通 韦 响应 Response) 消息 发 送 给 认证 方 。 认 证 方 在 接收 到 响应 消息 之 后 ， 用 
响应 消息 中 的 散 列 值 ， 与 目 己 使 用 相同 的 参数 执行 散 列 运算 得 到 的 结果 进行 比 对 ， 如 果 
这 两 个 散 列 值 一 致 ， 表 示 管 理 员 在 两 边 预 配置 的 密码 一 致 ， 那 么 认证 方 就 会 癌 被 认证 方 
发 送 一 条 成 功 (Success) 消息 ， 否 则 认证 方 则 会 发 送 一 条 失败 (Failure) 消息 ， 上 面 
这 个 流程 称 为 CHAP 三 次 握手 。 总 之 ， 单 向 CHAP 认证 成 功 的 过 程 如 图 5-13 所 示 。 


襄 明 : 

Challenge 一 词 除了 “挑战 ”这 层 含义 之 外 ,也 有 “质询 ”的 表意 。 在 网 络 技术 领域 ， 
当 人 们 提 到 一 种 消息 类 型 为 Challenge 消息 时 ,这 类 消息 的 功用 往往 是 设备 提出 质询 并 等 
待 对 端 作 出 响应 。 然 而 ，“ 挑 战 消 息 ” 这 种 译 法 已 经 深入 人 心 ， 翻 译 为 “质询 消息 ”有 
可 能 反而 让 读者 不 知 所 云 ， 因 此 我 们 保留 了 传统 的 译 法 。 同 时 ， 随 着 人 们 在 越 来 越 多 领 
- 域 中 将 Challenge 的 质询 这 层 含 义 错 译 为 挑战 ， 大 众 已 经 开始 将 错 就 错 ， 能 够 以 “质询 “ 
这 种 表意 来 理解 汉语 中 的 挑战 一 词 了 。 

图 5-13 的 流程 虽然 复杂 ， 但 读者 也 可 以 明显 看 出 双方 比 对 散 列 值 是 否 一 致 ， 其 实 
还 是 在 比较 双方 预 配 置 的 密码 是 否 一 致 。 因 为 决定 藤 列 值 A 和 敌 列 值 B ee 
性 因素 ,就 是 双方 预 配置 的 密码 是 耕 相 同 。 此 外 ， 虽 然 在 图 5-13 中 , 我 们 为 求 简洁 而 
省 略 号 替代 了 各 个 CHAP 消息 中 的 大 量 信息 , 只 展示 出 了 与 认证 有 关 的 字段 ， wm 
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该 能 够 理解 CHAP 能 够 提供 安全 认证 的 原因 : 无 论 有 人 帘 探 到 了 这 个 过 程 中 的 哪个 消息 ， 
他 /她 也 只 能 获取 到 消息 的 标识 符 、 认 证 方 为 这 次 认证 而 生成 的 随机 数 〈 挑 战 值 ) ， 以 及 
被 认证 方 使 用 这 两 个 参数 和 预 配置 密码 计算 出 来 的 散 列 值 ， 却 无 法 获取 到 用 户 在 两 边 预 
配置 的 密码 ， 因 为 用 户 预 配置 的 密码 并 不 会 在 链 路 中 进行 传输 。 
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散 列 算 法 


区 ?全 和 | 第 一 次 提 手 : 10 








成 功 消息 > 
0 比较 》 
ei \ 不 -至 Y 
| | 
志 


图 5-13 CHAP 协商 过 程 示意 








注 泛 : 
通过 散 列 值 、 标 识 符 和 挑战 值 是 无 法 逆向 计算 出 用 户 预 配置 的 密码 的 ， 因 为 散 列 函 
数 的 运算 结果 是 一 个 抽样 值 ， 而 抽样 值 是 无 法 还 原 为 原始 数据 的 。 
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CHAP 与 PAP 还 有 另 一 点 重要 的 区 别 ， 那 就 是 PAP 认证 是 一 次 性 的 ， 而 CHAP 认证 会 
在 此 后 协商 通信 的 过 程 中 与 传输 通信 数据 的 过 程 中 周期 性 地 执行 。 每 次 执行 CHAP 认证 
时 ， 认 证 方 生成 的 挑战 值 也 各 不 相同 。 


注 粹 : 

我 们 在 这 里 介绍 CHAP 的 原理 ,初衷 是 为 了 解释 为 什么 CHAP 提供 的 认证 方式 更 
加 安全 。 为 了 简化 起 见 ， 我 们 在 简 述 上 述 流程 时 没有 考 谍 用 户 镍 的 因 业 ， 硬 且 及 探讨 
单 向 认证 的 操作 方式 。 


: 喇 
在 5.3.2 节 中 ， 我 们 对 PAP 和 CHAP 这 两 个 协议 的 工作 方式 进行 了 简要 的 说 明 。 截 
止 到 这 里 ， 读 者 应 该 已 经 对 PPP; 协 议 的 工作 流程 有 了 一 个 大 概 的 认 知 。 再 次 强调 ，PPP 
是 一 个 内 容 十 分 丰富 的 协议 ， 如 时 想 要 结合 PPP 的 完整 工作 流程 一 一 细 数 PPP 的 所 有 成 
员 协 议 ， 这 几乎 需要 付出 一 本 书 的 篇 幅 。 
在 5.3 节 的 5.3.3 节 中 ， 我 们 会 结合 5. 3. 1、5. 3. 2 节 介 绍 的 内 容 ， 用 一 些 简 单 的 
实验 操作 ， 对 这 个 协议 进行 演示 。 


5.3.3 PPP 的 配置 


在 用 整整 两 节 的 内 容 介绍 了 与 PPP 相关 的 理论 知识 后 ， 在 5.3. 3 节 中 ， 我 们 将 会 演 
示 如 何在 华为 设备 上 配置 PPP 接口 ， 以 及 如 何在 PPP 链 路 上 配置 认证 参数 。 
在 5. 3. 3 节 中 ， 我 们 会 以 图 5-14 所 示 拓 扑 为 例 演示 与 PPP 相关 的 配置 操作 。 
ARI1 


AR2 
192.168.10.2/30 
S2/0/1 
S1/0/] 


192.168.10.1/30 
图 5-14 配置 PPP 的 网 络 环境 





如 图 5-14 所 示 ，AR1 和 AR2 各 目 使 用 串 行 链 路 接口 S1/0/1 和 S2/0/1 相连 ， 它 们 默 
认 的 封 状 模 式 就 是 PPP， 因 此 我 们 无 需 修改 封装 协议 ， 只 需要 为 其 配置 相应 的 IP 地 址 ， 
这 两 台 设 备 束 会 使 用 PPP 来 封装 IP 数据 包 。 例 5-6 中 展示 了 管理 员 在 两 台 路 由 器 上 配置 
IP 地 址 并 进行 验证 的 命令 。 

例 5-6 在 两 台 路 由 器 上 配置 IP 地 址 并 验证 

[AR1jinterface serial 1/0/1 

[AR1-Seriall/0/1]ip add 192. 168. 10.1 30 

[AR2jinterface serial 2/0/1 

[AR2-Serial2/0/1]ip add 192. 168. 10.2 30 

[AR2-Serial2/0/1] 

Apr 10 2017 03:30:03-08:00 AR2 %%O1IFNET/4/LINK_STATE(1) [4] :The line protocol PPP IPCP 
on the interface Serial2/0/1 has entered the UP state. 


2 
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[AR2-Serial2/0/1lquit 

[AR2]display interface serial 2/0/1 

Serial2/0/1 current state : UP 

Line protocol] current state : UP 

Last line protocol up time : 2017-04-10 03:30:03 UTC-=08:00 
Description:HUAWEI, AR Series, Serial2/0/1 Interface 

Route Port, The Maximum Transmit Unit is 1500, Hold timer is 10(sec) 
Internet Address is 192. 168. 10. 2/30 

Link layer protocol is PPP 

LCP opened, IPCP opened 

Last physical up time  : 2017=04-10 03:25:08 UTC-08:00 

Last physical down time : 2017-04-10 01:27:32 UTC-08:00 

Current System time: 2017-04-10 03:33:29-08:00 

Physical layer is synchronous,; Virtualbaudrate is 64000 bps 
Interface is DTE, Cable type is Vll, Clock mode is TC 

Last 300 seconds input rate 7 bytes/sec 56 bits/sec 0 packets/sec 
Last 300 seconds output rate 2 bytes/sec 16 bits/sec 0 packets/sec 


Input: 112 packets, 3614 bytes 


Broadeast: 0, Multicast: 0 : “3 
Errors: 0, Runts: 

Giants: = GE: 

Alignments: 0, Overruns: 0 

Dribbles: 0, Aborts 

No Buffers: 0, Frame Error: 0 


OQutput: 113 packets, 1358 bytes 


Total Error: 0, Overruns: r 0 
Collisions: 0, Deferred: 多 0 
Input bandwidth utilization : 0% 
Output bandwidth utilizetion : 0% 
[AR2] 


[AR2]display ip interface serial 2/0/1 
Serial2/0/1 current state : UP 

Line protocol current state : I 下 

The Maximum Transmit Unit : 1500 bytes 

input packets : 0, bytes : 0, multicasts : 0 
output packets : 0, bytes : 0, multicasts : 0 


— jn0 一 
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Directed-broadcast packets: 
received packets: 0; sent packets: 0 
forwarded packets: 0, dropped ee 0 

Internet Address is 192. 168. 10. 2730 

Broadcast address : 192. 168. 10. 3 

TTL being 1 packet number: 

TIL invalid packet number: 

ICMP packet input number: 

Echo reply: 
Unreachable: 
Source quench: 
Routing redirect: 
Echo request: 所 
Router advert: 

Router solicit: 

Time exceed : 

IP header bad: 
Timestamp request: 
Timestamp reply: 
Information-request: 
Informakion reply: 
Netmask request: 


Netmask reply: 


SK EY GT A J ey OE HD a FY 


Unknown type: 


“如 例 5-6 所 示 ， 我 们 首先 在 AR1 接口 5S1/0/1 上 配置 了 IP 地 址 192. 168. 10. 1/30， 
接着 又 在 AR2 接口 S2/0/1 上 配置 了 IP 地 址 192. 168. 10. 2/30。 这 时 ，AR1 和 AR2 上 同时 
弹出 了 表明 接口 PPP IPCP 协议 UP 的 消息 。 在 本 例 中 ， 我 们 只 展示 了 AR2 上 的 提示 消息 ， 
读者 在 搭建 环境 做 实验 时 可 以 观察 AR1 上 的 提示 消息 。 

接着 ， 我 们 在 AR2 上 使 用 命令 display interface serial 2/0/1 和 命令 display ip 
interface serial 2/0/1 查看 了 接口 S2/071 的 状态 。 第 一 条 命令 的 输出 信息 展示 楼 
口 使 用 的 是 PPP 协议 〈 如 第 一 个 阴影 行 所 示 ) ， 第 二 条 命令 的 输出 信息 则 显示 了 管理 
- 在 接口 上 配置 的 IP 地 址 〈 如 第 二 个 阴影 行 所 示 ) 。 

例 5-7 对 这 两 个 接口 之 间 直 连 链 路 的 连通 性 进行 了 测试 。 
例 5-7 测试 两 台 路 由 器 之 间 的 连通 性 
[AR2]ping 192. 168. 10.1 

PING 192. 168. 10. 1: 56 data bytes, press CTRL C to break 


Reply from 192. 168. 10. 1: bytes=56 Sequence=] tt1=255 time=170 ms 
Reply from 192. 168. 10. 1: bytes=56 Sequence=2 tt1=255 time=40 ms 
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Reply from 192. 168. 10. 1: bytes=56 Sequence=3 ttl1=255 time=30 ms 
Reply from 192. 168. 10. 1: bytes=56 Sequence=4 ttl=255 time=30 ms 
Reply from 192. 168. 10. 1: bytes=56 Sequence=5 tt1=255 time=30 ms 


—- 192. 168. 10. 1 ping statistics —- 
5 packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 
round-trip min/avg/max = 30/60/170 ms 


[AR2] 
在 例 5-7 中 ， 我 们 在 AR2 上 对 AR1 执行 了 ping 测试 。 从 测试 结果 可 以 看 出 ， 这 两 
台 路 由 器 之 间 已 经 能 够 正常 通信 了 。 接 下 来 我 们 在 这 条 链 路 上 局 用 PPP 认证 功能 。 
PPP 认证 
我 们 已 经 说 过 ，PPP 支持 PAP 认证 和 CHAP 认证 ， 为 了 在 本 例 中 清晰 展示 管理 员 使 用 
的 用 户 名 /密码 信息 ， 我 们 选择 使 用 安全 性 较 低 的 PAP 认证 。 读 者 在 目 己 的 网 络 中 设置 
PPP 认证 时 ， 建 议 总 是 尽 可 能 使 用 安全 性 更 高 的 CHAP 认证 。 
在 配置 PAP 认证 时 ， 管 理 员 可 以 在 要 求 对 端 癌 目 己 认证 的 路 由 器 ， 即 认证 方 〈AR1 ) 
上 执行 以 下 操作 。 \ 
。 在 系统 视图 下 执行 AAA 配置 : 
@ 本 例 使 用 本 地 认证 ， 因 此 我 们 需要 在 AAA 配置 中 创建 本 地 用 户 名 /密码 ; 
@ 在 AAA 配置 中 把 之 前 创建 的 用 户 名 应 用 在 PPP 中 。 
。 在 接口 视图 下 局 用 PAP 认证 : 
ms 在 需要 局 用 PAP 认证 的 串 行 链 路 接口 下 配置 PAP 命令 。 
在 5.3. 3 节 中 ,我 们 只 演示 如 何 配 置 单 向 PAP 认证 ， 即 AR1 要 求 认证 AR2，AR2 无 
需 对 AR1 进行 认证 。 例 5-8 中 展示 了 AR1 上 有 关 PAP 认证 的 配置 命令 。 
例 5-8 在 AR1 上 配置 与 PPP PAP 认证 相关 的 命 使 
[AR1jaaa 
[AR1l-aaa]jlocal-user router gr2 password cipher huaweil23 
[LAR1-aaa]local-user router ar2 service type ppp 
[AR1-aaajaquit 
[AR1] interface serial 1/0/1 
[AR1-Seriall/0/1]ppp authentication-mode pap 
如 例 5-8 所 示 ， 我 们 在 AR1 上 使 用 命令 aaa 进入 AAA 视图 ， 使 用 命令 local-user 
router_ar2 password cipher huaweil23 创建 了 一 个 名 为 router ar2 的 本 地 用 户 ， 并 
为 其 配置 了 密码 huawei123; 之 后 ， 我 们 又 使 用 命令 local-user router ar2 service- 
type ppp 把 本 地 用 户 router_ar2 所 关联 的 服务 类 型 设置 为 了 PPP。 


= I 
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在 需要 对 端 提 供认 证 信息 的 S1/0/1 接口 上 ， 我 们 使 用 命令 ppp authentication- 
mode pap 局 用 了 PAP 认证 。 

在 配置 PAP 认证 时 ， 管 理 员 可 以 在 被 认证 方 ( 即 本 例 中 的 AR2) 上 执行 以 下 操作 。 

。 ”在 接口 视图 下 配置 用 于 PAP 认证 的 用 户 名 和 密码 : 

@ 在 需要 提供 PAP 认证 的 串 行 链 路 接口 下 配置 PAP 命令 。 

在 本 例 中 ， 是 AR1 要 求 认证 AR2，AR2 是 被 认证 方 。 例 5-9 展示 了 AR2 上 有 关 PAP 
认证 的 配置 命令 。 

例 5-9 在 AR2 上 配置 与 PPP PAP 认证 相关 的 命令 

[AR2]interface serial 2/0/1 

[AR2-Serial2/0/1] ppp pap logal-user router ar2 password cipher huaweil23 

在 需要 提供 认证 的 一 端 〈AR2) ， 管 理 员 只 需要 在 需要 提供 认证 的 串 行 链 路 接口 上 
配置 用 于 PAP 认证 的 用 户 名 和 密码 。 

要 想 使 现在 配置 的 认证 功能 生效 ， 管 理 员 需要 在 接口 视图 上 执行 关闭 〈shutdown ) 
和 再 次 打开 (undo shutdown ) 操作 。 在 进行 这 个 操作 时 , 我们 在 这 条 链 路 上 进行 了 抓 包 ， 
图 5-15 所 示 为 AR1 和 AR2 的 品行 链 路 接口 重新 启 用 后 ，AR2 向 AR1 提供 认证 用 户 名 / 密 
码 的 数据 包 解 析 。 

过 Capturing from Standard input - Wireshark - 口 配 强 


File Edit View Go Capture Analyze Statistics Telephony Tools Help 
各 训 可 市 世 国 关 访 与 人 9 了 | 轿 加 |QQQH| 芒 六 罗 党 | 疗 ~ 
划 


Filter: ~ Expression... Clear Apply 
No,. Time Source Destination Protocol info 入 
11 35.610000 N/A N/A PPP LCFCoNnfiguration Ack 
12 35.625000 N/A "N/AA ， PPP PAFAUthenticate-Request 
13 35.719000 N/A N/A PPP PAPFAuthenticate-Ack 
14 35.719000 N/A N/A PPP IPCConfiguration Request 
15 35.735000 N/A N/A PPP IPCConfiguration Request wy 


名 


| | 二 
wm Frame 12: 29 bytes on wire (232 bits), 29 bytes captured (232 bits) 
万 Point-to-point Protocol 
5 PPP password Authentication Protoco] 

Code: Authenticate-Request (0x01) 
Identifier: 0x01 
Length: 25 

= Data (21 bytes) 

Peer ID length: 10 bytes 
peer-ID (10 bytes) 

Password length: 9 bytes 
password (9 bytes) 


03 















Ty 





ce 23 9 O01 00 19. 0a /2 bf /9 7 wo 霜 本 
0010 72 32 09 68 .75 61 77 65 169.31 32 3: r2. huaw eil23 
© Frame (frame), 29 bytes packets: 33 Displayed: 33 Marked: 0 profile: Default 


图 5-15 从 抓 包 中 查看 用 户 名 和 密码 


本 例 使 用 PAP 认证 就 是 为 了 在 这 里 能 够 清晰 地 展示 出 认证 数据 包 中 携带 的 用 户 名 和 
密码 信息 , 使 用 CHAP 认证 的 话 ,认证 数据 包 中 会 以 加 密 的 形式 呈现 出 管理 员 配 置 的 密码 。 
例 5-10 中 展示 了 从 ARl1 上 向 AR2 发 起 ping 测试 的 结果 。 
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例 5-10 从 AR1 上 向 AR2 发 起 ping 测试 
[AR1jping 192. 168. 10. 2 
PING 192, 168. 10. 2: 86 data bytes, press CTRL C to break 

Reply from 192. 168. 10.2: bytes=56 Sequence=] ttl1l=255 time=160 ms 
Reply from 192. 168. 10. 2: bytes=56 Sequence=2 tt1=255 time=40 ms 
Reply from 192. 168. 10.2: bytes=56 Sequence=3 tt1l=255 time=30 ms 
Reply from 192. 168. 10. 2: bytes=56 Sequence=4 tt1l=255 time=20 ms 
Reply from 192. 168. 10. 2: bytes=56 Sequence=5 ttl1=255 time=20 ms 


== 92 168. 10, 2 Dine steatisti6s 一 一 
5 packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 
round-trip min/avg/max = 20/54/160 ms 


[AR1] -a 

从 例 5-10 的 ping 测试 结果 可 以 看 出 ，AR1 和 AR2 之 间 能 够 正常 通信 。 在 本 例 中 ， 
我 们 只 展示 了 AR1 需要 AR2 提供 单 向 PAP 认证 的 情景 。 请 读者 在 实验 练习 中 ， 尝 试 配置 
单 问 / 双 由 CHAP 认证 。 本 教材 配套 的 实验 手册 会 对 更 加 复杂 的 配置 提出 实现 要 求 和 方法 
演示 。 \ 


5.4 PPPoE 概述 
| 

在 理论 上 ，IS0 在 定义 HDLC 时 ， 是 按照 这 种 协议 可 以 应 用 于 点 到 多 点 环境 中 进行 设 
计 , 尽管 在 后 来 的 设计 使 用 当中 , 几乎 没有 人 真 的 在 点 到 多 点 环境 中 使 用 HDLC 进行 封装 。 
久而久之 , 各 个 厂商 在 实现 时 , 也 就 不 再 考虑 HDLC 可 以 应 用 于 点 到 多 点 环境 中 的 这 种 先 
择 了 ,于 是 HDLC 才 变 成 了 一 种 只 支持 点 到 点 环境 的 协 谋 。 关 于 这 一 点 ， 我 们 刚刚 在 前 面 
介绍 HDLC 的 5. 2 节 中 进行 了 介绍 。 

PPP 协议 则 与 HDLC 不 同 。 通过 这 个 协议 的 名 称 ,我 们 就 可 以 看 出 这 个 协议 在 定义 时 
就 是 按照 只 支持 点 到 点 环境 进行 设计 的 。 但 与 此 同时 ，PPP 协议 提供 的 很 多 服务 又 让 人 
们 希望 将 这 种 协议 部 署 在 以 太 网 这 种 点 到 多 点 环境 中 。 如 何在 以 太 网 环境 中 部 署 PPP 协 
议 ， 让 通过 以 太 网 相连 的 设备 也 可 以 利用 PPP 协议 提供 的 服务 ， 这 些 是 5.4 节 的 主题 。 


5.4.1 PPPoE 原理 概述 


目前 ， 使 用 最 为 广泛 的 有 线 介 质 蝇 无 疑问 束 是 以 太 网 。 以 太 网 的 优势 地 庸 袭 言 ， 但 
以 六 网 也 存在 目 己 的 限制 条 件 。 比 如 ， 以 大 网 定义 的 数据 帆 封 朔 字 段 中 ， 没 有 任何 字段 
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可 以 提供 用 户 身份 认证 功能 ， 也 无 法 对 传输 的 数据 进行 压缩 ， 另 外 ， 以 太 网 本 身 也 不 具 
备 自动 分 配 IPv4 地 址 的 功能 。 

经 过 了 5. 3 节 的 学 习 ， 读 者 应 该 发 现 上 述 这 些 以 太 网 提供 不 了 的 服务 ，PPP 都 有 成 
员 协 议 可 以 提供 。 同 时 ， 这 些 以 太 网 提供 不 了 的 服务 ， 恰 恰 对 于 服务 提供 商 来 说 十 分 重 
要 。 比 如 ， 服 务 提供 商 需要 通过 用 户 认证 来 对 用 户 进行 服务 计 费 (Billing) ， 也 希望 用 
户 可 以 在 接 入 网 络 中 时 ， 用 户 设备 能 够 通过 与 运营 商 设备 的 自动 协商 来 给 设备 自动 配置 
IP 地 址 等 。 

然而 ， 当 年 大 多 数 希 望 借助 PPP 协议 (所 提供 的 认证 # 压缩 和 地 址 分 配 服务 ) 的 服 
务 提供 商 ， 它 们 在 底层 与 网 络 用 户 之 间 采 用 的 连接 在 数据 链 路 层 的 角度 上 可 以 看 作 是 一 
个 以 太 网 环境 ?。 可 是 ，PPP 协议 鼻 然 是 不 支持 以 大 网 环境 的 ， 所 以 以 大 网 网 络 适配器 接 
口 不 可 能 直接 把 封装 好 的 PPP 数据 由 执行 成 帧 操作 ,然后 发 送 到 以 太 网 环境 当中 。 于 是 ， 
人 们 想到 了 一 种 方法 :在 封装 好 的 PPP 数据 帧 外 面 再 封装 一 层 以 太 网 数据 帧 ， 然 后 再 把 
这 个 嵌 套 了 PPP 数据 帧 的 以 太 网 数据 帧 放 到 以 太 网 中 传输 。 这 样 一 来 ， 当 运营 商 的 接收 
方 设备 接收 到 这 个 以 太 网 数据 帜 时 ， 会 通过 解 圭 能 发 现 其 中 封装 的 PPP 数据 帧 ， 然 后 再 
根据 这 个 PPP 数据 帧 内 部 封装 的 协议 , 来 对 数据 帧 进行 相应 的 处 理 。 这 种 方式 一 旦 落实 ， 
一 台 设 备 就 可 以 按照 图 5-16 所 示 的 方式 ,在 以 太 网 环境 中 通过 PPP 数据 帧 来 向 对 端 提供 


认证 数据 子 。 
用 户 名 长 度 | 用 户 名 | 密码 长 度 | 密码 






以 太 网 尾部 






图 5-16 通过 以 太 网 环境 同 对 端 发 送 PPP 数据 帧 的 理论 模型 


最 终 ， 人 们 按照 图 5-16 的 模型 定义 了 PPPoE (PPP over Ethernet) 。 不 过 ， 人 们 
并 没有 严格 参照 图 5-16 的 做 法 定义 PPPoE， 而 是 定义 了 一 个 专门 的 PPPoE 头 部 。 这 个 头 
部 包含 了 一 个 4 比特 的 版 本 (Version) 字段 ， 这 个 字段 的 取 值 固定 为 0x1; 一 个 4 比特 
的 类 型 〈Type) 字段 ， 这 个 字段 的 取 值 同 样 固定 为 0x1; 一 个 8 比特 用 来 标识 PPPoE 消 
县 类 型 的 代码 《Code) 字段 ; 一 个 16 比特 的 会 话 ID (Session-ID) 字段 和 一 个 16 比特 
的 长 度 (Length) 字段 。 


”在 物理 层 的 角度 ， 运 营 商 会 使 用 铺设 的 模拟 线路 进行 传输 ， 所 以 在 利用 模拟 线路 进行 传输 的 前 后 ， 需 要 使 用 调制 
解 调 器 执行 数 模 转换 。 这 一 部 分 并 不 是 我 们 需要 讨论 的 内 容 ， 因 此 我 们 忽略 了 与 调制 解 调 相关 的 话题 。 
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此 外 ，PPP 消息 是 作为 载荷 封装 在 PPPoE 消息 中 的 ， 而 这 个 PPP 消息 的 头 部 只 包含 
了 协议 (Protocol) 字段 ， 其 他 头 部 字段 和 尾部 字段 全 部 都 被 取消 了 。 当 然 ， 这 也 不 难 
理解 。PPP 数据 帧 被 封装 在 以 太 网 数据 帧 当中 ， 因 此 当然 没有 必要 保留 标识 数据 帧 起 始 
和 结尾 的 标记 字段 ， 地 址 字段 、 校 验 字 段 提供 的 功能 也 可 以 通过 以 太 网 来 实现 ; 固定 取 
值 的 控制 学 段 也 没有 保留 的 价值 。 

综 上 所 述 ， 当 一 台 路 由 器 真 的 借助 以 太 网 介质 向 对 端 提 供 PAP 认证 消息 时 ， 它 的 圭 
装 方式 其 实 是 如 图 5-17 所 示 的 。 


pe > PAP 认证 请 求 消息 


| 












用 





图 5-17 ”PPPoE 消息 实际 封装 (PAP 认证 请 求 消息 ) 的 情况 


如 图 5-17 所 示 ，PPPoE 是 作为 以 太 网 数据 帧 的 载荷 部 分 封闭 在 以 太 网 数据 帧 内 部 
的 ， 而 PPPoE 头 部 中 封装 的 数据 部 分 由 协议 字段 和 PAP 消息 构成 。 

在 图 5-17 中 ， 只 有 两 项 信息 我 们 此 前 完全 没有 提 到 ， 一 是 以 太 网 头 部 类 型 字段 的 
取 值 ， 二 是 PPPoE 头 部 代码 字段 的 取 值 。 这 两 项 取 值 与 PPPoE 的 工作 原理 有 关 ， 下 面 我 
们 尽量 用 最 简单 的 方式 对 PPPoE 的 工作 原理 进行 一 个 简单 的 说 明 。 
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PPPoE 的 工作 过 程 分 为 两 个 阶段 。 这 两 个 阶段 从 前 到 后 分 别 为 发 现 (Discovery) 阶 
段 和 PPP 会 话 阶段 。 在 PPP 会 话 阶 段 ， 通 信 建 立 的 过 程 与 我 们 在 5.3 节 (PPP) 介绍 的 党 
规 PPP 通信 建立 流程 没有 区 别 : 双方 首先 通过 LCP 协议 建立 数据 链 路 ， 如 果 链 路 建立 阶 
段 有 一 方 或 者 双方 选择 了 认证 则 接 下 来 进行 号 份 认证 ， 在 完成 认证 之 后 再 通过 上 层 协 议 
所 对 应 的 NCP 协商 配置 参数 ， 最 后 通过 上 层 协 议 进 行 通信 。 对 于 这 个 流程 感到 阳 生 的 读 
者 可 以 复习 本 书 的 第 5.3 节 。 在 这 个 阶段 中 ， 以 太 网 头 部 类 型 字段 的 取 值 就 是 图 5-17 
中 所 示 的 0x8864。 同 时 ， 在 这 个 阶段 中 ，PPPoE 代码 字段 的 取 值 为 0x0， 这 是 因为 这 个 
阶段 的 协商 是 通过 封装 在 PPPoE 头 部 的 协议 完成 的 ， 所 B 忆 肖 居 类 型 的 定义 也 应 该 由 内 部 
协议 通过 自己 的 代码 字段 来 进行 标识 。 比 如 在 图 5-17 中 , 消息 类 型 (PAP 认证 请 求 消息 ) 
就 是 通过 PAP 头 部 的 代码 字段 标 间 的 。 

在 PPPoE 的 发 现 阶段 中 ， 以 太 网 头 部 类 型 字段 的 取 值 是 0x8863。 在 这 个 阶段 ， 通 信 
双方 需要 解决 一 个 问题 才能 进入 PPP 会 话 阶段 。 这 个 问题 就 是 双方 如 何 通 过 一 个 实际 上 
是 多 路 访问 的 以 太 网 环境 ， 建 立 迪 辑 层 面 的 一 对 一 会 话 。 为 了 做 到 这 一 点 ，PPPoE 在 封 
装 格 式 中 定义 了 一 个 用 来 标识 不 同 会 话 的 会 话 h 字段 。 这 也 就 是 说 ,在 这 个 阶段 , 通信 
双方 需要 拥有 一 个 标识 彼此 之 间 一 对 一 会 话 的 会 话 ID。 为 了 做 到 这 一 点 ， 在 发现 阶段 ， 
通信 双方 需要 人 至少 交 换 4 个 PPPoE 消息 。 在 说 明 这 个 过 程 之 前 , 我 们 需要 首先 明确 一 点 ， 
那 就 是 PPPoE 是 一 个 客户 端 一 服务 器 模型 的 协议 ， 也 就 是 通信 的 双方 要 区 分 客户 端 和 服 
务 嚣 角色， 这 二 点 在 这 个 阶段 就 会 有 所 体现 。 

第 一 步 ，PPPoE 客户 端 会 癌 PPPoE 服务 器 发 送 一 条 PPPoE 动态 发 现 发 起 (PPPoE 
Active Discovery Initiation， 简 称 PADI) 消息 。 在 封装 PADI 消息 的 PPPoE 头 部 时 ， 
代码 字段 的 取 值 为 0x09， 这 个 消息 的 目的 是 在 网 络 中 以 广播 的 方式 寻找 PPPoE 服务 占 ， 
并 且 提 出 自己 希望 PPPoE 服务 器 提供 的 服务 。 

第 二 步 ， 当 PPPoE 服务 器 接收 到 PPPoE 客户 端 发 送 的 PADI 广播 寻 人 消息 之 后 ， 如 
果 它 发 现 自己 能 够 满足 PPPoE 客户 端 对 于 服务 的 要 求 ， 那 么 它 会 用 这 个 PPPoE 客户 端的 
MAC 地 址 封装 一 个 单 播 的 PPPoE 动态 发 现 提 供 (PPPoE Active Discovery Offer， 人 简称 
PAD0) 消息 。 这 类 消息 代码 字段 的 取 值 为 0x07， 其 目的 是 告知 PPPoE 客户 端 ， 网 络 上 有 
一 台 能 够 为 它 提供 服务 的 PPPoE 服务 堆 。 

第 三 步 ， 当 PPPoE 客户 端 接收 到 第 一 个 来 目 PPPoE 服务 右 的 单 播 PADO 啊 应 消息 之 
后 ， 它 会 用 这 个 PPPoE 服务 器 的 MAC 地 址 封装 一 个 单 播 的 PPPoE 动态 发 现 请 求 (PPPoE 
Active Discovery Request， 简 称 PADR) 消息 ， 请 求 这 台 PPPoE 服务 器 为 目 己 提供 通信 
服务 。PADR 消息 代码 罕 段 的 取 值 为 0x19。 

第 四 步 ， 当 PPPoE 服务 器 接收 到 客户 奖 的 单 播 PADR 消 妃 ， 发 现 客户 端 明确 回 自 己 
请 求 提 供 服 务 之 后 ， 它 就 会 用 这 个 PPPoE 客户 端的 MAC 地址 封装 一 个 单 播 的 PPPoE 动态 
发 现 会 话 确认 (PPPoE Active Discovery Session-confirmation， 人 和 何 称 PADS) 消息 为 
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这 个 PPPoE 客户 端 提 供 会 话 ID， 这 类 消息 代码 字段 的 取 值 为 0x65。 
经 过 了 上 述 4 次 握手 之 后 ， 双 方 就 可 以 进入 后 面 的 PPP 会 话 阶 段 的 ， 这 个 过 程 如 
图 5-18 所 示 。 





PPPoE 服务 器 1 PPPoE 客户 端 PPPoE 服务 器 2 
(5 AY) C2 
PADI (代码 =0x09) : 广播 PADI (代码 =0x09) : 广播 

(BD 











“~ 请 问 ， 有 人 可 以 在 明天 上 午 9 
”PADO (代码 0x07) 单 揪 点 把 我 从 海淀 区 长 远 天 地 大 厦 
sr 。 送 去 首 者 国际 机 场 吗 ” 


de 
明 早 9 点 从 海淀 区 去 机 | 
场 的 话 ， 我 可 以 去 ”| 


PADO (代码 0x07) : 单 揪 





a 
-一 一 一 









.一 一 外 
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明天 早上 我 有 罕 ， 可 以 
送 你 


PADR (代码 =0x19) : 单 播 


ee 





go 


pe semper 


“大好 了 ， 明 天 早上 我 就 
等 您 了 
PADS (代码 0x65) : 单 播 
一 


mm 


六 
我 的 车 牌号 是 京 B 81017， 天 





图 5-18 ” PPPoE 发 现 阶段 通信 流程 示意 


络 黄 声明 : | 
上 图 仅 为 用 类 似 的 方式 解释 PPPoE 发 现 阶 段 的 通信 原理 , 图 中 的 车 牌号 纯 属 随 机 杜 
撰 ， 请 勿 对 号 入 座 。 


在 5.4.1 市 中 ， 我 们 对 于 PPPoE 的 由 来 、 封 装 方 妈 和 工作 原理 进行 了 简 轩 的 说 明 。 
在 5.4.2 节 中 ， 我 们 会 泗 示 这 个 协议 的 配置 方法 。 不 过 ， 我 们 在 这 里 先 向 读者 进行 一 下 
页 合 : 从 由 辑 上 看 ，PPPoE 发 现 阶 段 与 我 们 第 6 章 要 介绍 的 协议 在 工作 流程 上 有 些 类 似 ， 
谈 者 在 学 习 第 6 草 时 也 不 炉 将 两 者 进行 简单 的 比较 。 


5.4.2 PPPoE 的 配置 


在 学 习 了 PPPoE 的 理论 知识 后 ， 我 们 下 面 来 进行 PPPoE 实验 的 演示 ， 介 绍 如 何 把 华 
为 设备 配置 成 PPPoE 服务 占 和 PPPoE 客户 哨 。 

读者 或 许 还 记得 ， 我 们 在 第 4 章 4.2.3 节 (配置 Easy IP) 的 演示 实验 中 ， 曾 经 刻 
意 忽 略 了 PPPoE 的 配置 部 分 ， 只 介绍 了 如 何 配 置 Easy IP。5. 4. 2 节 会 把 第 4 章 中 遗留 的 
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PPPoE 部 分 补 全 ， 并 补充 一 些 与 PPPoE 相关 的 其 他 可 选 配置 。 
为 了 帮助 读者 回忆 第 4 章 中 的 内 容 ， 我 们 沿用 了 Easy IP 配置 环境 中 的 拓扑 ， 如 图 
5-19 所 示 。 


PC ISP 路 由 器 


| SN 202.108.0.2/30 
GO/0/0 
GO/0/1 GO/0/0 
10.0.0.1/24 202.108.0.1/30 


10.0.0.10/24 
图 5-19 配置 PPPoE 的 网 络 环境 





在 图 5-19 所 示 环 境 中 ， 企 业 管 理 员 和 需要 负责 网 关 路 由 器 GW-ARL 上 的 配置 ， 把 它 配 
置 成 PPPoE 客户 端 ， 并 通过 GW-AR1 为 内 部 用 户 (10. 0. 0. 0/24) 提供 上 网 服务 。ISP 工 
程 师 需要 负责 ISP 路 由 器 的 配置 ， 要 把 它 配 置 成 PPPoE 服务 器 。 在 5. 4. 2 节 中 ， 我 们 把 
配置 也 分 为 两 个 部 分 进行 展示 。 首先 , 在 第 一 部 分 中 , 我 们 会 展示 ISP 工程 师 需 要 对 ISP 
路 由 器 执行 的 配置 ， 接 下 来 ,我们 会 通过 第 二 部 分 展示 企业 管理 员 要 对 企业 网 关 GW-AR1 
执行 的 配置 。 | 

1. ISP 路 由 器 (PPPoE 服务 器 ) 的 配置 

在 图 5-19 所 示 的 这 个 环境 中 , 企业 用 户 使 用 的 公 网 IP 地 址 是 由 ISP 路 由 器 (PPPoE 
服务 器 ) 进行 分 配 的 , PPPoE 服务 器 是 通过 本 地 地 址 池 来 为 PPPoE 客户 端 分 配 IP 地 址 的 ， 
因此 我 们 在 PPRoE 服务 器 的 配置 中 也 要 包含 地 址 池 的 配置 信息 。 


注 焙 : 

在 实际 工作 中 ， 企 业 管 理 员 也 可 以 在 与 ISP 工程 师 进 行 协 商 并 签订 合同 后 ， 手 动 在 
虚拟 拨号 接口 上 配置 ISP 分 配 的 公 网 IP 地 址 ， 这 时 PPPoE 服务 器 上 就 无 需 配置 地 址 池 : 
了 。 因 此 以 下 步骤 中 ， 步 骤 1 是 可 选 的 ， 步 骤 2 和 3 则 是 必需 步骤 。 


步骤 1 (可 选 ) 创建 并 配置 地 址 池 。 

e。 ip pool ip-poo7-name: 使 用 系统 视图 命令 创建 全 局 IP 地 址 池 ， 并 进入 地 址 池 
视图 ; 

e network ip-address [mask {mask | mask-1ength} ]: 使 用 地 址 池 视 图 命令 指 
定 地 址 池 中 的 IP 地 址 范围 。 一 个 地 址 池 中 只 能 配置 一 个 IP 地 址 段 ， 本 例 中 配 
置 的 IP 地 址 段 是 202. 108. 0. 0/30; 

e。 gateway-list ip-address: 使 用 地 址 池 视 图 命令 指定 地 址 池 的 网 关 地 址 。 在 本 
例 中 就 是 ISP 路 由 占 使 用 的 IP 地 址 202. 108. 0. 2。 

步骤 2 创建 并 配置 虚拟 接口 模板 。 

。 interface virtual-template vt-number: 使 用 系统 视图 命令 创建 虚拟 接口 模 
板 ， 并 进入 虚拟 接口 模板 视图 。 虚 拟 接口 模板 编号 的 取 值 范围 是 0 一 1023， 本 
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例 中 取 10; 

e ip address ip-address {mask | mask-lengthl: 使 用 虚拟 接口 模板 视图 命令 
为 虚拟 接口 模板 配置 IP 地 址 。 在 本 例 中 就 是 202. 108. 0. 2; 

。 remote address pool poo7-name: (可 选 ) 使 用 虚拟 接口 模板 视图 命令 为 PPPoE 
客户 端 分 配 IP 地 址 。 

步骤 3 启用 PPPoE 服务 器 功能 ， 并 把 虚拟 接口 模板 绑 定 到 物理 以 太 网 接口 上 。 

e interface interface-type interface-number: 使 用 系统 视图 命令 进入 接 
口 视图 ; 

e。 pppoe-server bind virtual-template vt-number: 使 用 接口 视图 命令 把 虚拟 
接口 模板 绑 定 在 接口 上 ， 同 时 局 用 PPPoE 服务 器 功能 。 

例 5-11 中 展示 了 ISP 路 由 器 上 的 相关 配置 命令 。 

例 5-11 1ISP 路 由 器 的 配置 

[ISP]ip pool Pool_GW-AR1 

Info: It' s successful to create an IP address pool. 

[ISP-ip-pool-Pool _GW-AR1]network 202. 108..0. 0 mask 255. 255. 255. 252 

[ISP-ip-pool-Pool _GW-AR1] gateway-list 202. 108. 0. 2 

[ISP-ip-pool-Pool GW-AR1]aquit 

ebT ner tac virtual-template 10 

[ISP-Virtual-Templatel0] 

Apr 8 2017 20:48:08-08:00 ISP %%0lIFPDT/4/IF_STATE(1) [0]: Interface Virtual-Temp 

latel0 has turned into UP state. WN 

[ISP-Virtual-Templatel0]ip address|202. 108. 0.2 255. 255. 205. 252 

[ISP-Virtual-Templatel0]remote RS pool Pool _GW=-AR1 

[ISP-Virtual-Templatel0]guit 

[ISPlinterface gigabitethernet 0/0/0 


3 
bE 


入 
[ISP-GigabitEthernet0/X0/0]jpppoe-server bind wirtual template 10 


[ISP-GigabitEthernet0/0/0]quit 多 

[ISP] 

从 例 5-11 所 示 配 置 中 我 用 可 以 看 出 , ISP 工程 师 创 建 了 一 个 名 为 Pool GW-AR1 的 地 
址 池 ， 读 者 要 注意 地 址 池 的 名 称 是 区 分 大 小 写 的 。 在 地 址 池 视 图 中 ，ISP 工程 师 配 置 了 
要 分 配给 企业 使 用 的 IP 地 址 和 网 关 。 接 着 工程 师 创 建 了 虚拟 接口 模板 10。 在 虚拟 接口 
模板 视图 中 管理 员 指 定 了 ISP 使 用 的 IP 地 址 并 调用 了 前 面 创建 的 地 址 池 Pool_GW-AR1。 
最 后 在 连接 GW-AR1 的 物理 以 太 网 接口 上 , 管理 员 局 用 PPPoE 服务 器 功能 , 并 绑 定 了 虚拟 
模板 10。 

2. 企业 网 关 路 由 器 GW-AR1 (PPPoE 客户 端 ) 的 配置 

在 我 们 这 个 环境 中 ， 企 业 用 户 使 用 的 公 网 IP 地 址 是 由 ISP 路 由 器 进行 分 配 的 ， 因 
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此 我 们 不 用 在 虚拟 拨号 接口 下 配置 IP 地 址 。 本 例 中 配置 PPPoE 客户 端的 步骤 如 下 所 示 。 
步骤 1 创建 并 配置 虚拟 拨号 接口 。 


interface dialer number: 使 用 系统 视图 命令 创建 虚拟 拨号 接口 ， 并 进入 虚拟 
拨号 接口 视图 ; 

dialer user Wser-name: 使 用 虚拟 拨号 接口 视图 命令 指定 拨号 用 户 的 用 户 名 。 
本 例 中 使 用 ISP_User:; 

dialer bundle number: DO I 
之 后 需要 在 物理 接口 下 进行 调用 ; :过 

ip address ppp-negotiate: 使 用 虚拟 拨号 接口 视图 命令 指定 从 ISP 那里 学 习 
IP 地 址 。 


步骤 2 局 用 PPPoE 客户 端 功能 ， 并 把 虚拟 拨号 接口 绑 定 到 物理 以 太 网 接口 上 。 


interface 7nterface-type interface-number: 使 用 系统 视图 命令 进入 接 
口 视 图 ; 

pppoe-client dial-bundle-number nimber: 使 用 接口 视图 命令 启用 PPPoE 客 
户 站 功能 ， 并 调用 拨号 绑 定 关系 。 


例 5-12 中 展示 了 企业 网 关 路 由 器 CW-AR1 上 的 相关 配置 命令 。 

例 5-12 路 由 器 GW-AR1 的 配置 

[GW-AR1] interface dialer 10 一 - 
Apr 8 2017 22:28:02-08:00 GW-AR1 %%01IFPDT/4/IF_ STATE(1) [1] :Interface Dialer10 
has turned into UP state. 

[GW-AR1L=-Dialerl0jdialer user ISP User 
~[GW-AR1-Dialerl0Jdialer bundle 10 

[GW-AR1-Dialer10]is address ppp-negotiate 

LGW-ARl-Dialerl10]quit 

[GW-ARl1 | interface gigabitethernet 0/0/0 
[GW-AR1-GigabitEthernet0/0/0]pppoe-client dial-bundle-number 10 
[GW-AR1-GigabitEthernet0/0/0]quit 

[GW-AR1] 


Apr 8 2017 22:37:59-08:00 GW-ARI %%O1IFNE 





T/4/LINK.. A Lol The line protocol 





PPP on the interface Dialer10: 0 has entered the UP state. 
[GW-AR1] 


Apr 8 2017 22:37:59-08:00 GW-ARI %%OlIFNET/4/LINK STATE 
PPP IPCP on the interface Dialer10:0 has entered the UP state. 





() [1]:The line protocol 


[GW=-AR1 

从 例 5-12 所 示 配 置 中 我 们 可 以 看 出 ， 企 业 管 理 员 在 GW-AR1L 上 先 创建 了 一 个 拨号 接 
口 10， 并 在 这 个 接口 下 配置 了 三 条 命令 ， 分 别 指定 了 拨号 用 户 、 拨 号 绑 定 关系 和 IP 地 
址 获得 手段 。 接 着 进入 连接 ISP 路 由 器 的 物理 以 太 网 接口 ， 启 用 PPPoE 客户 端 功能 ， 并 
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指定 拨号 绑 定 关 系 。 我 们 从 例 5-12 的 两 个 阴影 行 可 以 看 出 , 在 完成 PPPoE 客户 端的 配置 
后 ， 路 由 器 自动 完成 了 PPPoE 拨号 工作 。 

例 5-13 验证 了 PPPoE 客户 疹 从 服务 需 那 里 获得 的 IP 地 址 。 

例 5-13 在 GW-AR1 上 查看 从 ISP 获得 的 IP 地 址 

[GW-AR1]jdisplay ip interface brief dialer 10 

*down: administratively down 

“down: standby 

(1): loopback 

(s): spoofing 


Interface IP Address/Mask Physical Protocol 
Dialer10 202. 108. 0. 1/32 up up(s) 
[GW-AR1] 


例 5-13 在 命令 display ip interface brief 后 添加 了 接口 类 型 和 接口 编号 ， 这 样 
可 以 让 路 由 器 只 显示 指定 接口 的 IP 地 址 和 状态 信息 。 从 中 我 们 可 以 确认 拨号 接口 10 的 
物理 和 协议 状态 都 是 UP， 并 且 获 得 了 IP 地 址 202. 108. 0. 1。 

例 5-14 展示 了 在 PPPoE 客户 端 和 PPPoE 服务 器 上 分 别 查看 PPPoE 会 话 的 状态 信息 。 

例 5-14 在 两 端 设备 上 分 别 查看 PPPoE 会 话 


LGW-AR1jdisplay pppoe-client session summary \ 

PPPOE Client Session: oe 

ID Bundle Dialer Intf Client-MAC Server-MAC State 

10 GE0/0/0 O00e0fcb44877 * 00e0fc60583c UP 

LGW=AR1] | 

[ISPldisplay pppoe-server session 和 1 

SID Intf State OIntf RemMAC LocMAC 

1 - - Virtual-Templatel0:0 UP GEQ/0/0 00e0. fcb4. 4877 00e0. fc60. 583c 
EISP] i 


管理 员 在 GW-AR1 上 使 用 命令 display pppoe-client session summary 查看 PPPoFE 
客户 端 会 话 ， 从 这 条 命令 中 我 们 可 以 看 出 PPPoE 会 话 已 建立 ， 状 态 为 UP。 在 一 个 PPPoOE 
会 话 中 ， 可 以 出 现 以 下 状态 标识 。 

e。 IDLE: 六 PPPoE 会 话 状 态 为 空闲 ， 也 了 驶 是 在 按 需 拨号 的 环境 中 ， 路 由 需 


e。 PADI: 表示 当前 PPPoE 会 话 处 于 我 们 5. 4. 1 节 中 介绍 的 发 现 阶 段 ， 并 且 已 经 发 
送 了 PADI 消息 ; 

e。 PADR: 表示 当前 PPPoE 会 话 处 于 我 们 5. 4. 1 节 中 介绍 的 发 现 阶段 ， 并 且 已 经 发 
送 了 PADR 消息 ; 


UP: 表示 当前 PPPoE 会 话 已 建立 完成 。 
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ISP 工程 师 可 以 使 用 命令 display pppoe-server session all 来 查看 路 由 器 上 建立 
的 所 有 PPPoE 服务 器 会 话 。 在 本 例 中 ， 我 们 只 建立 了 一 个 会 话 。 从 命令 的 输出 内 容 中 ， 
我 们 可 以 看 出 与 PPPoF 客户 端 相对 应 的 内 容 ， 比 如 MAC 地 址 信息 和 状态 《UP) 信息 。 





,3 本 章 总 结 


第 5 章 的 篇 幅 虽然 不 算 太 短 ， 但 是 脉络 十 分 清晰 。 在 第 5 章 的 5. 1 节 中 ， 我 们 首先 
对 于 WAN 技术 进行 了 简单 的 概述 ， 这 些 内 容 与 本 系列 教材 《网 络 基础 》 第 工 章 中 对 于 广 
域 网 的 介绍 十 分 类 似 ， 只 是 为 了 帮助 读者 大 致 了 解 一 下 广域网 技术 与 本 系列 教材 之 前 辣 
述 的 那些 局 域 网 技术 存在 哪些 区 别 。 

在 第 5 章 的 5.2 节 、5.3 节 和 5.4 节 , 我 们 分 别 对 三 种 不 同 的 广域网 协议 ， 即 HDLC、 
PPP 和 PPPoE 进行 了 介绍 。 在 介绍 每 一 种 协议 时 ， 我 们 都 采用 了 相同 的 叙事 顺序 ， 即 用 
te 


了 


一 、 选 择 题 

下 列 哪些 关于 HDLC 数据 帧 封装 中 的 标记 字段 的 说 法 是 正确 的 ? ( ) 
这 个 字段 的 功能 尚未 定义 

这 个 字段 的 取 值 与 数据 帧 的 长 度 有 天 

这 个 字段 的 作用 是 标识 数据 帧 的 开始 与 结束 

这 个 字段 分 为 多 个 标记 位 ， 每 一 位 均 与 分 片 有 关 

在 PPP 数据 帧 字段 中 ， 下 列 哪个 字段 的 取 值 不 是 固定 的 ? ( ) 

标记 B. 地 址 C. 控制 D. 协议 
下 列 关于 高 层 协 议 对 应 的 NCP 的 说 法 中 ， 哪 个 说 法 是 正确 的 ? ( ) 
如 果 上 层 协议 是 IPv4，PPP 对 应 的 NCP 成 员 协 议 为 IPCP 

如 果 上 层 协 议 是 IPv6，PPP 对 应 的 NCP 成 员 协 议 为 IPCP 

如 果 上 层 协 议 是 IPv6，PPP 对 应 的 NCP 成 员 协 议 为 NCP 

.如 果 上 屋 协议 是 IPX，PPP 对 应 的 NCP 成 员 协 议 为 IPCP 

.下列 关 于 LCP 和 NCP 的 说 法 中 ， 错 误 的 是 ? ( ) 

. 在 PPP 通信 建立 过 程 中 ，LCP 的 协商 先 于 NCP 完成 

.在 PPP 架构 中 ，NCP 的 分 层 高 于 LCP 
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， 一 般 来 说 ， 在 封装 NCP 消息 时 ， 发 送 方 会 先 对 数据 封装 NCP， 然 后 再 封装 LCP 


C 

D. NCP 是 一 类 协议 的 总 称 

5. 下 列 关 于 PAP 协议 的 说 法 中 ， 正 确 的 是 ? 《多 选 ) ) 

A. 明文 认证 B. 三 次 握手 

C. 周期 认证 D. PPP 协议 字段 取 值 为 0xC023 

6. 下 列 关 于 CHAP 协议 的 说 法 中 ， 正 确 的 是 ? (多 选 )( ) 

A. 明文 认证 B. 三 次 握手 

C. 周期 认证 D. PPP 协议 字段 取 值 为 0xC023 

7. 在 PPPoE 客户 端 与 PPPoE 服务 器 通信 的 过 程 中 ， 它 们 的 协商 顺序 是 下 列 哪 一 种 
( ) 


A. PPPoE 发 现 、LCP 协商 、 认 证 、NCP 协商 
B. LCP 协商 、 认 证 、NCP 协商 、PPPoE 发 现 
C. PPPoE 发 现 、LCP 协商 、NCP 协商 、 认 证 
D. LCP 协商 、NCP 协商 、 认 证 、PPPoE 发 现 
二 、 判 断 题 
1. 在 建立 PPP 通信 的 过 程 中 ， 即 使 一 方 在 还 没有 癌 对 方 发 送 LCP 配置 请 求 消息 的 
时 候 ， 就 已 经 通过 LCP 配置 确认 消息 确认 了 另 一 方 的 配置 请 求 消息 ， 它 还 是 需要 向 对 方 
发 送 LCP 配置 请 求 消 县 。 

2. 在 通过 CHAP 协议 执行 认证 的 过 程 中 ， 通 信 双 方 始终 不 会 将 认证 密码 发 送 到 点 到 
点 链 路 上 。 

3. 在 通过 PPPoE 封装 IPCP 消息 时 ,| 以 太 网 头 部 类 型 字段 的 取 值 是 0x8863。 
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”6.2 ”DHCP 配置 
6.3 “本章 总 结 
6.4 练习 题 





对 于 每 一 位 阅读 和 学 习 过 华为 ICT 学 院 《 网 络 基础 》 教 材 的 读者 来 说 ， DHCP 也 许 并 
不 是 一 项 陌生 的 协议 一 一 在 本 系列 教材 《网 络 基础 》 的 第 8. 3 节 中 ， 我 们 就 曾经 用 半 节 
的 篇 幅 对 这 个 十 分 常用 的 协议 进行 了 简要 的 介绍 。 

然而 ，DHCP 协议 的 原理 远 不 是 短 短 半 节 的 篇 幅 可 以 说 清 的 。 要 想 解释 清楚 这 项 技术 
的 工作 方式 ， 至 少 需要 耗费 一 节 的 篇 幅 。 当 然 ， 仅 仅 复杂 并 不 能 构成 我 们 青 次 长 篇 累 卡 
介绍 这 项 协议 的 理由 。 实 际 上 ， 这 项 协议 的 使 用 相当 广泛 ， 任 何 一 个 稍 具 规模 的 网 络 都 
很 难 不 借助 DHCP 实现 高 效 的 部 署 。 从 复杂 性 和 广泛 性 两 个 角度 考虑 , 我 们 都 有 必要 对 这 
个 协议 的 原理 与 配置 进行 更 加 深入 的 介绍 。 

因此 ， 我 们 在 《网 络 基础 》 教 材 中 就 埋 下 了 伏笔 。 当 时 我 们 就 曾经 提 到 ， 本 书 会 用 
一 章 的 篇 幅 来 回答 几 个 关于 DHCP 协议 的 重要 问题 , 而 这 些 问 题 我 们 都 在 《网 络 基础 》 中 
刻意 进行 了 规避 , 比如 多 台 DHCP 服务 器 如 何 通 过 DHCP 客户 六 发 送 的 广播 DHCP 请求 消息 ， 
判断 DHCP 客户 端 在 向 哪 台 DHCP 服务 器 请 求 IP 地 址 ; 如 何 让 网 络 设 备 协助 DHCP 客户 端 ， 
来 解决 DHCP 客户 端 所 在 的 本 地 网 络 中 没有 DHCP 服务 器 的 问题 等 。 同 时 ， 我 们 也 会 在 第 6 
章 中 介绍 如 何 通过 配置 ， 让 华为 设备 在 网 络 中 充当 DHCP 服务 器 和 DHCP 客户 端 。 当 然 ， 在 
开始 介绍 新 的 内 容 之 前 ， 我 们 会 首先 用 一 节 的 内 容 帮助 读者 回顾 DHCP 协议 的 基本 原理 。 
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Lo 3 。 理解 DHCP 的 工作 方式 ; 

/ EE: 这 3 。 理解 DHCP 的 封装 格式 ; 

: 目 c <3。 了 和 解 DHCP 欺骗 攻击 的 原理 ; 

你 。。 。 掌 握 将 华为 路 由 设备 配置 为 DHCP 服务 器 的 方式 ; 
。 掌握 将 华为 路 由 设备 配置 为 DHCP 中 继 的 方式 。 
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6.1 DHCP 原理 


2 台 人 台式 机 、3 人 台 笔 记 本 电脑 、2 个 平板 电脑 、3 台 网 络 盒 子 /IP 电视 、2 个 在 线 摄 
像 头 、2 部 智能 手机 、1 个 用 来 保存 和 访问 影像 文件 的 NAS， 共 计 15 台 联 网 设备 ， 这 是 
本 书 作者 家 中 的 实际 联网 设备 统计 情况 ， 相 信 这 个 数量 也 与 很 多 2 口 之 家 的 家 庭 网 络 络 
尊 设 备 数 量 相 答 。 任 何人 实际 竖 试 一 下 就 会 发 现 ， 哪 怕 面 对 这 样 一 个 并 不 复杂 的 家 寿 网 
络 ， 每 次 在 - 台 终 端 需要 连接 网 络 时 就 给 它 手动 配置 IP 地 址 ， 同 时 确保 它 的 IP 地 址 不 
与 当前 其 他 终端 的 IP 地 址 冲突 ,部 会 是 一 项 耗 时 缆 力 的 工作 。 在 BYOD (Bring Your Own 
Device) 办 公 方 式 方兴未艾 :的 今天 ， 对 于 一 个 管理 员 甚 至 连 网 络 中 具体 会 有 多 少 终端 设 
备 都 无 法 确定 的 大 型 网 络 来 说 , 手动 为 终端 分 配 IP 地 址 简直 就 成 了 一 项 不 可 能 完成 、 也 
不 应 该 党 试 去 完成 的 工作 。 显 然 ， 对 于 给 终 痛 分 配 IP 地 址 这 种 操作 层面 高 度 机 械 化 , 却 
需要 耗费 大 量 精 力 去 记录 和 管理 的 工作 , 交 给 设备 自行 完成 比 通过 人 力 完 成 要 经 济 得 多 。 
第 6 章 要 介绍 的 DHCP 协议 就 定义 了 由 服务 器 给 终端 动态 分 配 配置 信息 的 机 制 。 在 6.1 
节 中 ， 我 们 会 首先 对 DHCP 的 原理 进行 说 明 。 


D4.1 DHCP 概述 


对 网 络 管 管理 员 来 说 ， 在 一 个 具备 一 定 规模 的 网 络 中 给 各 个 终端 一 一 配置 IP 地 址 是 
一 项 琐碎 、 繁 杂 而 又 容易 出 现 错误 的 程式 化 工作 ， 让 不 具备 技术 背景 的 用 户 自 行 配置 IP 
地 址 更 是 天 方 夜 谭 , 何况 用 户 更 加 搞 不 清 网 络 中 当前 有 哪些 IP 地 址 正在 使 用 。 对 于 这 种 
高 度 机 械 化 ,- 同时 费力 又 不 讨好 的 工作 ， 最 理想 的 方式 就 是 交 给 设备 之 间 上 自行 解决 。 当 
然 ， 要 想 让 设备 之 间 有 能 力 通过 消息 互动 来 解决 这 个 问题 ， 人 们 必须 为 这 类 通信 定义 一 
套 标准 。 

DHCP 全 称 为 动态 主机 配置 协议 (Dynamic Host Configuration Protocol) ， 这 个 
协议 定义 了 一 个 服务 器 一 一 客户 端 模型 ， 让 DHCP 客户 端 ( 如 PC 等 终端 设备 ) 可 以 从 网 
络 中 的 DHCP 服务 器 那里 获得 能 够 目 行 完成 配置 的 信息 ， 包 括 IP 地 址 、 扶 认 网 天 地 址 、 
域名 服务 器 地 址 和 一 些 特 定 平台 的 信息 ， 如 图 6-1 所 示 。 

图 6-1 所 示 即 为 DHCP 的 典型 应 用 场景 :一 台 刚 刚 连 接 到 网 络 中 的 终端 没有 IP 地 址 ， 
i be ite 于 是 它 尝 试问 网络 发 起 请 求 消 

。 此 时 ， 这 台 终 端 设备 当然 不 知道 DHCP 服务 器 的 地 址 ， 所 以 这 个 请 求 消息 只 能 以 广播 
pti 合 局 域 网 中 的 所 有 设备 。 虽然 目的 地 址 是 局 域 网 中 的 所 有 设备 ,但 大 多 数 设 备 
并 不 是 DHCP 服务 器 ， 它 们 在 解 封装 到 看 出 这 是 一 个 DHCP 请 求 消息 之 后 ， 就 会 忽略 这 个 消 
息 ， 只 有 DHCP 服务 器 会 使 用 一 个 可 以 分 配 的 IP 地址 (如 有 ) 对 这 个 请 求 消息 作出 响应 。 
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Sas 了 DHCP 请 求 : 
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图 6-1 笔记 本 电脑 作为 DHCP 客户 器 ， 癌 网 络 中 发 送 DHCP 请 求 


J 


虽然 上 述 请 求 响应 流程 适用 于 大 多 数 服务 器 一 一 客户 端 模 型 的 应 用 层 协 议 , 但 DHCP 
定义 的 机 制 显然 没有 如 此 简单 : 鉴于 DHCP 客户 端 所 请 求 的 信息 是 IP 地 址 ， 因此 DHCP 
协议 必须 定义 客户 端 在 《获得 地 址 之 前 的 ) 无 IP 地 址 情况 下 发 送 和 接收 DHCP 数据 包 的 
标准 ， 理 解 这 些 通信 流程 是 摘 懂 DHCP 通信 访 方式 的 关键 。 此 外 ， 通 过 广播 发 送 DHCP 请 求 
意味 者 每 个 子 网 中 都 必须 部 署 有 DHCP 服务 器 , 因为 广播 请 求 难免 会 被 三 层 设备 的 接口 隔 
离 , 如 果 和 希望 部 署 在 一 个 子 网 中 的 DHCP 服务 器 也 能 够 为 其 他 子 网 提供 服务 , 就 必须 定义 
配套 的 机 制 来 解决 广播 不 出 子 网 的 问题 。 . 

在 6. 1.2 节 中 ， 我 们 会 深入 分 析 DHCP 的 工作 方式 2 着 重 介绍 DHCP 客户 端 在 获 
得 IP 地 址 之 前 , 与 DHCP 服务 器 相互 发 送 消 息 时 ,这 些 DHCP 消息 的 源 和 目的 地 址 分 别 是 
如 何 设 置 的 。 


ee: - 


6.1.2 DHCP 的 工作 方式 


一 般 情况 下，DHCP 客户 端 从 DHCP 服务 器 那里 获得 IP 地 址 的 交互 过 程 ， 可 以 分 为 下 
面 这 4 个 步骤 。 

步 又 1 DHCP 客户 端 在 网 络 中 寻找 DHCP 服务 器 ; 

步骤 2 DHCP 服务 器 向 DHCP 客户 端 提供 一 个 IP 地 址 ; 

步骤 3 DHCP 客户 端 向 DHCP 服务 器 申请 该 IP 地 址 的 使 用 权 ; 
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步骤 4 DHCP 服务 器 回 DHCP 客户 病 确 认 它 可 以 使 用 该 IP 地 址 。 

下 面 ， 我 们 来 展开 介绍 一 下 这 4 个 步骤 中 ， 通 信 的 双方 是 如 何 进行 数据 封装 的 。 

当 一 台 DHCP 客户 奖 刚 刚 连 接 到 网 络 当 中 时 ， 它 需要 首先 在 这 个 网 络 中 寻找 DHCP 服 
务 器 。 为 了 达到 这 个 目的 ， 客 户 关 需要 封闭 一 个 DHCP 发 现 (DHCP DISCOVER)》 消息 。 

6-2 展示 的 是 图 6-1 中 笔记 本 电脑 ( 适 配 右 MAC 地 址 为 00-9A-CD-11-11-11) 所 
封装 的 DHCP 发 现 消 息 。 根 据 RFC 2131 文档 ，DHCP 协议 会 使 用 UDP 作为 其 传输 层 协议 ， 
由 DHCP 客户 端 发 送 给 DHCP 服务 器 的 消息 ， 其 目的 端口 号 字段 需 封 装 为 67， 而 由 DHCP 
服务 器 发 送 给 DHCP 客户 问 的 消息 ， 则 其 目的 奖 口 号 字段 需 封 装 为 68。 因 此 ， 图 6-2 中 
的 DHCP 发 现 消息 在 传输 层 封装 的 协议 是 UDP, 而 UDP 头 部 封装 的 源 端 口 为 68, 目的 端口 
为 67。 号 

























| 链 路 层 以 太 封装 “| 网 络 层 由 封装 | 传输 层 UDP 封装 
适配器 MAC 地 址 : 站 Ne es 
L : Bi | IP(Ox0800) UDPI(Oxl1l) DHCP 
00-9A:CD-22-11-11 ghey | 源 MAC 地 址 字段 : 源 IP 地 址 字段 : 
\ ”| 00-9A-CD-11-11-11 0.0.0.0 
目的 MAC 地 址 字段 : | 目的 IP 地 址 字段 | 67 






FF-FF-FE-FF-FF-FF | 255.235.255.255 


笔记 本 电脑 
适配器 MAC 地 址 : 
00-9A-CD-11-11-11 


图 6-2 DHCP 发 现 消 息 的 封装 

DHCP 协议 的 作用 是 给 TCP/IP 网 络 中 的 主机 提供 配置 参数 , 因此 DHCP 消息 在 网 络 层 
使 用 的 是 IP 协议 。 鉴 于 UDP 协议 的 IP 层 协议 号 为 17， 因 此 这 个 消息 IP 头 部 的 协议 罕 
段 封 装 的 数值 为 0x11 (17 换算 为 十 六 进 制 即 为 0x11) ， 指 明 IP 头 部 之 内 封装 的 协议 为 
UDP 协议 。 因 为 这 人 台 笔 记 本 电脑 当前 还 没有 获得 可 用 的 IP 地 址 ， 所 以 它 的 源 IP 地 址 封 
装 的 是 全 0; 同时 ， 这 台 笔 记 本 电脑 并 不 知道 DHCP 服务 器 的 IP 地 址 ， 甚 至 不 知道 自己 
所 在 的 子 网 中 是 否 存在 DHCP 服务 器 ,于 是 它 也 就 上 只 能 通过 广播 的 形式 党 试 在 子 网 中 发 现 
DHCP 服务 器 ， 所 以 DHCP 发 现 消息 在 IP 头 部 目的 IP 地 址 字段 封装 的 是 广播 地 址 255. 
255. 255. 255。 
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在 再 外 面 一 层 的 数据 链 路 层 头 部 ， 数 据 链 路 层 头 部 的 类 型 字段 封装 的 数值 为 0x0800， 
指明 载 往 的 类 型 为 IPv4 数据 包 。 因 为 这 是 一 个 以 太 网 广播 数据 包 ， 所 以 以 太 网 头 部 封闭 
的 源 MAC 地 址 即 为 笔记 本 电脑 适配器 的 MAC 地 址 ， 而 目的 MAC 地 址 为 全 1 的 广播 地 址 。 


注 泣 : 

关于 DHCP 消息 的 文字 叙述 和 配 图 中 并 没有 包含 各 层 封闭 中 的 全 部 字段 , 仅 包 含 了 
与 DHCP 消息 交互 的 相关 字段 。 同 样 ， 链 路 层 封装 的 数据 帧 尾部 因 与 6.1.2 节 要 表达 的 - 
主旨 无 关 ， 因 此 并 没有 在 图 中 展示 出 来 。 


图 6-2 所 示 为 逻辑 拓扑 ， 并 没有 展示 连接 这 个 局 域 网 的 交换 机 。 当 这 个 局 域 网 的 交 
换 机 接收 到 DHCP 发 现 消息 时 , 它 会 租 看 消息 的 链 路 层 头 部 ,并 由 此 发 现 这 个 数据 帧 的 目 
的 地 址 为 全 1。 于 是 ， 交 换 机 会 将 这 个 数据 帧 从 除了 接收 到 它 的 那个 端口 之 外 的 所 有 同 
VLAN 端口 发 送出 去 。 

虽然 子 网 中 的 其 他 设备 都 会 接收 到 这 人 台 笔 记 本 电脑 发 送 的 DHCP 发 现 消息 ， 但 是 其 
他 设备 在 将 这 个 消息 解 封 装 到 传输 层 时 ， 会 看 到 这 个 消息 的 目的 端口 字段 为 67， 由 于 它 
们 并 不 是 DHCP 服务 器 ， 所 以 它们 不 会 处 理发 送 给 67 端口 的 消息 ， 于 是 这 些 设 备 都 会 丢 
弃 这 个 数据 帧 ， 只 有 DHCP 服务 器 会 监听 自己 的 67 端口 ， 并 进一步 处 理 传 输 层 目的 端口 
字段 封装 为 67 的 消息 。 当 DHCP 服务 器 进程 接收 到 DHCP 发 现 消 息 之 后 ,\ 它 会 封装 一 个 
DHCP 提供 DHCP OFFER) 消息 来 对 客户 端的 发 现 消 息 作 出 响应 ， 向 客户 端 提 供 一 个 IP 
地 址 ， 如 图 6-3 所 示 。 













类 型 字段 : 
IP (Ox0800) 

源 MAC 地 址 字段 : 
00-9A-CD-22-11-11 

目的 MAC 地 址 字段 : 
FF-FF-FF-FF-FF-FF 








DHCP 提供 
OPSDAAEDTIARET! : 


消息 
《10.1.1.5) 


笔记 本 电脑 
适 配 咒 MAC 地 址 : 
00:9A=:CD-11=}11=11 


图 6-3 ”DHCP 提供 消息 的 封装 
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图 6-3 显示 了 局 域 网 中 充当 DHCP 服务 此 的 路 由 器 (以 太 网 接口 IP 地 址 为 10. 1. 1. 1， 
适配器 MAC 地 址 为 00-9A-CD-22-11-11) 为 响应 DHCP 客户 端 而 发 送 的 DHCP 提供 消息 ， 
路 由 器 通过 这 个 消息 告诉 笔记 本 电脑 它 可 以 同上 和 目 己 申请 租用 10. 1. 1. 5 这 个 IP 地 址 。 根 
据 RFC 2131 文档 ， 图 6-3 中 的 DHCP 提供 消 奶 在 传输 层 封 狼 的 协议 是 UDP， 而 UDP 头 部 
封装 的 源 端 口 为 67， 目 的 端口 为 68。 

在 网 络 层 ，DHCP 提供 消息 当然 也 会 使 用 IP 协议 ， 并 且 将 协议 字段 的 数值 设置 为 0x11 
(17 换算 为 十 六 进 制 即 为 0x11) 指明 IP 头 部 之 内 封 逆 的 协议 为 UDP 协议 。 此 外 ， 充 当 DHCP 
服务 器 的 路 由 器 会 用 自己 连接 这 个 局 域 网 的 接口 IP 地 址 (在 赤 例 中 为 10. 1. 1. 1) 作为 DHCP 
提供 消息 的 源 IP 地 址 ， 这 个 地 址 其 实 也 就 是 这 个 子 网 中 的 DHCP 服务 器 地 址 ; 同时 ， 因 为 请 
求 IP 地 址 的 DHCP 客户 端 ， 也 束 是 狠 6-3 中 的 笔记 本 电脑 当前 并 没有 IP 地 址 ， 所 以 DHCP 
服务 器 只 能 通过 广播 的 形式 封装 DHCR 提供 消息 ,将 DHCP 提供 消 息 发 送 给 子 网 中 的 所 有 设备 。 
因此 ，DHCP 提供 消息 在 IP 头 部 目的 卫 地 址 字段 封 逆 的 也 是 广播 地 址 255. 255. 255. 255。 

在 数据 链 路 层 头 部 ， 由 于 网 络 层 载荷 类 型 同样 为 IPv4 数据 包 ， 所 以 数据 链 路 层 头 
部 的 类 型 字段 封装 的 数值 也 是 0x0800。 同 时 ， 由 于 这 是 一 个 以 太 网 广播 数据 包 ， 所 以 路 
由 器 会 用 连接 该 子 网 的 接口 的 MAC 地 址 来 封装 以 太 网 头 部 的 源 MAC 地 址 字段 ,而 目的 MAC 
地 址 为 全 1 的 广播 地 址 。 


名 


} 

洁 站 有 eNSP 模拟 器 完成 DHCP 实验 时 ， 如 果 使 用 Wireshark 抓 包 观察， 会 发 现 
DHCP OFFER 消息 是 以 单 播 以 太 帧 的 形式 发 送 给 发 送 DHCP DISCOVER 消息 的 那 台 
DHCP 客户 端的 ， 而 并 不 会 像 上 文 介绍 的 那样 使 用 广播 发 送 DHCP OFFER 消息 。 在 真实 
环境 中 抓 包 ; 测试 时 , 发 现 DHCP OFFER 消息 为 单 播 的 几率 也 比 广播 更 大 。 在 看 到 这 种 情况 
时 ， 读 者 可 以 不 关心 为 何 实验 测试 的 结果 与 上 文中 理论 部 分 的 解释 不 符 ， 但 应 记得 DHCP 
OFFER 消息 既 有 可 能 封装 为 单 播 消息 ， 也 有 可 能 封装 为 广播 消息 ， 单 播 消息 在 实际 环境 中 
更 为 常见 。 正 因 如 此 ， 我 们 在 图 6-3 中 ， 将 目的 MAC 地 址 和 目的 IP 地 址 中 的 参数 用 斜体 
来 表示 。 对 于 想 要 了 解 具体 原因 的 读者 ,我 接 下 来 会 对 此 进行 解释 。 但 必须 说 明 ， 这 个 提示 
的 后 续 内 容 超出 了 华为 ICT 学 院 DHCP 协议 的 知识 范畴 ， 读 者 可 以 在 阅读 的 过 程 中 跳 过 。 

这 些 知 识 仅 供 那些 已 经 阅读 了 大 量 不 同 技术 文档 ， 发 现 不 同文 档 对 于 DHCP OFFER 消息 

的 发 送 方式 阐述 大 相 径 庭 ， 测 试 结果 又 缺乏 说 服 力 的 读者 参考 。 

用 比较 简单 的 方式 来 说 ,RFC 2131 文档 对 DHCP OFFER 消息 是 单 播 还 是 广播 分 为 
了 下 面 4 种 情形 。 

( 1) 客户 端 发 送 的 DHCP 消息 中 ， 网关 IP 地 址 ( giaddr ) 字段 包含 了 地 址 信息 : 这 
表示 这 个 环境 中 部 署 了 DHCP 中 继 代 理 , 所 以 服务 器 会 用 单 播 将 DHCP OFFER 消息 发 
送 给 中 继 代 理 。 关 于 DHCP 中 继 代理 的 内 容 ， 我 们 会 在 后 续 进行 介绍 ， 这 里 暂 不 蓉 述 
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这 种 情形 也 显然 不 是 这 个 提示 内 容 的 重点 ; 

(2 ) 客户 端 发 送 的 DHCP 消息 中 ,网 关 IP 地 址 ( giaddr ) 字段 全 0, 而 客户 端 IP 地 
址 (ciaddr ) 字段 非 0: 此 时 DHCP 服务 器 会 以 客户 端 IP 地 址 (ciaddr ) 字段 中 提供 的 地 
址 封装 DHCP OFFER 消息 的 目的 IP 地 址 ,并 以 单 播 的 形式 发 送 这 个 消息 。 这 种 情况 与 
图 6-2 的 情况 不 符 , 在 图 6-2 这 个 环境 中 ,DHCP 客户 端 刚 刚 发 送 了 DHCP DISCOVER 
消息 ， 自 己 并 没有 可 以 用 来 填充 客户 端 IP 地 址 (ciaddr ) 字段 的 IP 地址 ， 因 此 这 种 情形 
也 不 是 这 个 提示 内 容 的 重点 ; 

(3) 客户 端 发 送 的 DHCP 消息 中 ,网 关 IP 地 址 (giaddr ) 字段 全 0， 客户 端 IP 地 址 
( ciaddr ) 字段 全 0， 广播 位 置 位 ( 取 值 为 1) : 此 时 DHCP 服务 器 会 用 广播 发 送 DHCP 
OFFER 消息 ; 

(4) 客户 端 发 送 的 DHCP 消息 中 ,网关 IP 地 址 (giaddr ) 字段 全 0， 客户 端 IP 地 址 
(ciaddr ) 字段 全 0， 广播 位 未 置 位 ( 取 值 为 0) : 此 时 DHCP 服务 器 会 以 客户 端 硬件 地 
址 作为 目的 MAC 地址 ， 以 要 提供 给 客户 端的 IP 地址 ( 即 yiaddr 字段 中 的 地 址 ) 作为 目 
的 IP 地 址 封装 单 播 DHCP OFFER 消息 。 

那么 ，DHCP OFFER 是 单 播 消息 还 是 广播 消息 的 问题 ， 就 变 成 了 彼 时 广播 位 会 不 会 
署 位 的 问题 。 这 个 问题 的 答案 是 不 一 定 。 其 实 , REC 文档 中 定义 的 广播 位 就 位 于 我 们 6.1.3 
节 要 介绍 的 DHCP 消息 封装 中 的 标志 字段 ， 也 称 标记 字段 。 由 于 一 些 DHCP 客户 端 在 实 
现 上 , 不 支持 DHCP 服务 器 直接 把 分 配给 它 的 IP 地 址 作为 目的 IP 地 址 , 通过 单 播 进行 发 
送 的 做 法 。 因 此 ,为 了 防止 一 些 客户 端 无 法 支持 以 单 播 接收 DHCP OFFER 消息 的 方式 ， 
DHCP 在 消息 的 标志 /标记 字段 中 定义 了 一 个 广播 位 ， 如 果 客 户 端 可 以 支持 接收 单 播 
OFFER 消息 ， 那么 客户 端 就 会 在 发 送 维 DHCP 服务 器 的 消息 中 将 广播 位 置 0， 否则 置 1。 

当 DHCP 服务 器 看 到 某 台 DHCP 客户 端 发 送 的 消息 中 广播 位 为 0 时 ， 它 就 会 认为 
这 个 客户 端 可 以 支持 在 通过 DHCP OFFER 消息 为 客户 端 分 配 IP 地 址 的 同时 , 直接 用 分 
配 的 IP 地 址 作为 这 个 DHCP OFFER 消息 的 目的 IPs 地 址 ， 以 单 播 形式 发 送 给 客户 端的 
这 种 做 法 ， 于 是 DHCP 服务 器 就 会 向 这 个 客户 端 发 送 单 播 消息 ; 如 果 广 播 位 置 为 1， 表 
示 这 个 客户 端的 实现 方式 要 求 客 户 端 必须 首先 安装 这 个 IP 地 址 , 之 后 才能 接收 以 它 做 为 
目的 IP 地 址 的 消息 。 此 时 为 g7: 确 保 这 类 客户 端 能 够 接收 到 这 个 DHCP OFFER 消息 
DHCP 服务 器 就 会 用 广播 的 形式 发 送 DHCP OFFER 消息 和 DHCP ACK 消息 ” 6 痪 音 之， 


”REFC 2131 Section 4.1: Normally, DHCP servers and BOOTP relay agents attempt to deliver DHCPOFFER., 
DHCPACK and DHCPNAK messages directly to the client using uicast delivery … .Unfortunately, some client 
implementations are Unable to receive such unicast IP datagrams until the implementation has been configured with a valid IP 
address….A client that cannot receive unicast IP datagrams unti] its protocol software has been configured with an IP address 
SHOULD set the BROADCAST bit in the 'flags' field to 1 in any DHCPDISCOVER or DHCPREQUEST messages 
that client sends***.A server or relay agent sending or relaying a DHCP message'**SHOULD examine the BROADCAST 
bit in the 'flags' field. If this bit is set to 1, the DHCP message SHOULD be sent as an IP broadcast using an IP broadcast 
address as the IP destination address and the link—layer broadcast address as the link—layer destination address. 
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DHCP OFFER 消息 是 以 单 播 还 是 以 广播 的 形式 发 送 , 取决 于 请 求 人 P 地 址 的 DHCP 客户 
端 在 实现 上 是 否 接受 通过 单 播 DHCP OFFER 消息 为 其 提供 地 址 的 做 法 。 

考虑 到 按照 DHCP 客户 端的 实现 方式 分 两 种 情况 解释 DHCP 的 工作 原理 远 远 超出 
了 华为 ICT 学 院 对 于 学 生 掌 握 DHCP 技术 提出 的 要 求 ,而 将 DHCP OFFER 消息 解释 为 
广播 地 址 对 于 初学 者 更 容易 理解 ,对 于 清晰 地 阅 述 DHCP 的 工作 机 制 也 更 加 有 有利, 因此 
本 书 在 6.1.2 节 的 后 续 内 容 中 ， 包 括 在 介绍 其 他 DHCP 消息 时 ， 都 会 完全 延续 将 DHCP 
OFFER 消息 解释 为 广播 地 址 ，DHCP 客户 端的 实现 不 支持 在 安装 动态 IP 地 址 之 前 使 用 
该 IP 地 址 接收 单 播 数据 包 的 情形 展开 介绍 。 对 于 DHCP: 阁 户 端 通过 将 广播 位 置 位 ， 来 
表示 自己 支持 DHCP 服务 器 以 单 播 形式 发 送 DHCP OFFER 消息 的 这 种 情形 , 后 文中 将 
不 再 提 及 。 但 这 只 是 写作 与 教学 企 的 取 全 选择， 读者 不 应 将 这 种 判断 与 其 他 同类 图 书 作 
品 、 各 厂商 官方 PPT、 官 方 课程 的 和 内容 ,和 /或 各 类 网 络 模 拟 器 、 各 厂商 软 硬 件 产品 的 测 
试 结果 进行 对 比 后 , 得 出 任何 一 方 存在 技术 错误 的 结论 。 教师 在 使 用 本 系列 教材 教学 时 ， 
如 果 习 惯 另 一 种 情形 , 完全 有 自由 抛弃 本 教材 6.1.2 节 中 后 续 的 内 容 , 按照 自己 习惯 的 技 
术 理 论 叙 事 方 式 展 开 教学 。 关 于 本 提示 中 涉及 的 各 个 DHCP 消息 封装 字段 ， 我 们 会 在 
6.1.3 节 中 进行 详细 介绍 。 


当 这 个 消息 以 广播 的 形式 发 送 时 ， 在 这 个 局 域 网 的 交换 机 接收 到 DHCP 发 现 消息 的 
时 候 ， 它 会 将 这 个 数据 帧 从 除了 接收 到 它 的 那个 端口 之 外 的 所 有 同 VLAN 端口 发 送出 去 ， 
因此 子 网 中 的 其 他 设备 都 会 接收 到 DHCP 服务 器 发 送 的 广播 DHCP 提供 消息 。 那 么 ， 此 时 
子 网 中 的 其 他 设备 在 经 过 解 封 闻 , 将 消息 转 成 给 痛 口 号 为 68 的 DHCP 客 己 端 进程 之 后 ， 
它们 的 DHCP 客户 端 如 何 判断 出 这 个 DHCP 提供 消息 不 是 在 给 自己 提供 可 供 租用 的 
DHCP 地 址 了 昵 ? 关于 这 一 点 ， 我 们 留待 6. 1. 3 节 (DHCP 的 封装 格式 ) 再 行 介绍 ， 这 里 
先 卖 一 个 关子 。 和 总之， 在 正常 情况 下 ， 只 有 发 送 DHCP 发 现 消息 的 那个 客户 端 ， 也 就 
是 本 例 中 的 笔记 本 电脑 会 发 现 这 个 消息 是 DHCP 服务 器 对 自己 所 发 送 的 DHCP 发 现 消息 
作出 的 啊 应 。 

在 接收 到 了 DHCP 提供 消息 之 后 ，DHCP 客户 端 会 同 DHCP 服务 器 发 送 一 个 DHCP 请 求 
(DHCP REQUEST) 消息 ， 请 求 租 用 之 前 DHCP 服务 融通 过 DHCP 提供 消息 告诉 目 己 可 以 租用 
的 那个 IP 地 址 ， 如 图 6-4 所 示 。 

读者 对 比 图 6-4 和 图 6-2 可 以 发 现 ，DHCP 请 求 消息 和 DHCP 发 现 消息 在 这 几 个 字段 
中 封装 的 信息 都 是 相同 的 。 第 一 ， 这 两 类 消息 在 传输 层 封 厂 相 同 源 端口 和 目的 端口 ， 因 
为 它们 都 是 由 DHCP 客户 妆 发 送 给 DHCP 服务 器 的 消息 ; 第 二 , 这 两 类 消息 的 源 IP 地 址 字 
段 都 会 封装 0. 0. 0.0， 这 是 因为 DHCP 服务 器 至 此 尚未 确认 DHCP 客户 端 可 以 使 用 它 提供 
的 IP 地 址 , 所 以 在 发 送 这 两 类 消息 时 , DHCP 客户 端 都 还 没有 获得 可 用 的 IP 地 址 ; 第 三 ， 
这 两 类 消息 都 使 用 DHCP 客户 端 适配器 的 MAC 地 址 来 设置 以 太 网 头 部 的 源 MAC 地 址 字段 。 
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链 路 层 以 太 封 装 网 络 层 IP 封装 | 传输 层 UDP 封装 


类 型 字段 : 协议 字段 : 


路 由 路 
(充当 DHCP 服务 器 ) IP (Ox0800) UDP (0x11) : DHCP 请 求 


源 MAC 地 址 字段 : | 源 P 地 址 字段 : 消息 
00-9A-CD-11-11-11 | 0.0.00 -| C10-1.1.5) 
目的 MAC 地 址 字段 :| 目的 IP 地 址 字段 

FF-FF-FF-FF-FF-FF| 255.255.255.255 





适配器 MAC 地 址 : 
00-9A-CD-22-11-11 


影音 终端 笔记 本 电脑 
适配器 MAC 地 址 : 
00-9A-CD-11-11-1] 


图 6-4 DHCP 请 求 消 息 的 封装 


最 后 ， 在 图 6-4 中 ， 我 们 将 DHCP 请 求 消息 描述 为 了 广播 消息 ， 也 就 是 目的 MAC 地 
址 和 目的 地 址 均 为 全 1 位 的 地 址 。 然 而 ， 通 过 图 6-3 我 们 可 以 看 到 , \DHCP 服务 器 在 
癌 DHCP 客户 端 发 送 DHCP 提供 消息 时 ， 已 经 封装 了 自己 的 MAC 地 址 和 IP 地 址 ， 这 表示 
DHCP 客户 端 应 该 是 有 条 件 癌 DHCP 服务 器 发 送 单 播 DHCP 请 求 消 息 的 。 实际 上 , DHCP 客户 
站 在 第 一 次 癌 DHCP 服务 器 发 送 DHCP 请 求 时 ,确实 有 可 能 会 以 DHCP 服务 器 的 MAC 地 址 和 
IP 地 址 来 封装 链 路 层 目 的 地 址 和 网 络 慎 目 的 地 址 字段 ， 向 DHCP 服务 器 发 送 单 播 的 DHCP 
请 求 消息 。 如 果 在 发 送 之 后 没有 接收 到 来 自 于 DHCP 服务 器 的 回应 ，DHCP 客户 端 才 会 以 
图 6-4 所 示 的 广播 地 址 封装 DHCP 请 求 消息 ”。 因 此 在 图 6-4 中 ， 我 们 将 目的 MAC 地 址 字 
段 和 目的 IP 地 址 字段 也 标识 为 了 和 斜体 字 。 

当 DHCP 客户 端 以 广播 的 形式 请 求 了 某 一 台 服务 器 提供 的 IP 地 址 时 , 其 他 DHCP 服务 器 也 
会 通过 这 条 消息 判断 出 DHCP 客户 端 选中 了 其 他 DHCP 服务 器 提供 的 IP 地 址 ， 如 图 6-5 所 示 。 


ee*- 


注 焙 : 
几乎 所 有 操作 系统 的 DHCP 客户 疹 实 现 〈Implementation ) ， 都 会 针对 自己 最 先 接 
收 到 DHCP 提供 消息 中 包含 的 那个 可 用 IP 地 址 发 送 DHCP 请 求 消息 。 


oh 


RFC 2131 Section 4.4.4-Use of broadcast and unicast: The DHCP client broadcasts DHCPDISCOVER, 


DHCPREQUEST and DHCPINFORM messages, unless the client knows the address of a DHCP Server. When 
the DHCP client knows the address of a DHCP server, in either INIT or REBOOTING state, the client may 
use that address in the DHCPDISCOVER or DHCPREQUEST rather than the IP broadcast address.……… IF the 


client receives no response to DHCP messages sent to the IP address of a known DHCP server, the DHCP 
client reverts to using the IP broadcast address. 
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图 6-5 DHCP 服务 器 通过 DHCP 请 求 消息 判断 是 否 在 向 目 己 请 求 IP 地 址 


在 图 6-5 所 示 的 环境 中 ， 曾 经 有 两 台 DHCP 服务 器 (路 由 器 和 DHCP 服务 器 2) 使 用 
DHCP 提供 消息 响应 了 笔记 本 发 送 的 DHCP 发 现 消 县， 而 笔记 本 电脑 选中 了 路 由 器 提供 的 
IP 地址 10. 1. 1. 5， 于 是 它 发 送 了 一 条 广播 的 DHCP 请 求 消 息 ， 请 求 使 用 10. 1. 1. 5 这 个 
IP 地 址 。 路 由 器 在 接收 到 这 个 消息 之 后 立刻 发 现 这 是 在 同 目 己 请 求 IP 地 址 ， 而 DHCP 服 
务 器 2 在 接收 到 这 个 消息 后 也 会 立刻 判断 出 DHCP 客户 端 已 经 看 上 了 其 他 DHCP 服务 器 提 
供 的 IP 地 址 。 最 后 , DHCP 服务 器 2 会 把 刚才 提供 给 笔记 本 电脑 的 IP 地 址 (10. 1. 1. 100) 
回收 到 自己 的 地 址 池 中 。 

在 DHCP 服务 器 接收 到 问 自己 请 求 IP 地 址 的 DHCP 请 求 消息 时 ， 它 会 使 用 DHCP 确认 
(DHCP ACK) 消息 进行 回复 ， 如 图 6-6 所 示 。 

在 图 6-6 所 展示 的 封装 字段 中 ,DHCP 确认 消息 的 目的 MAC 地 址 学 段 被 封 狼 为 了 DHCP 
客户 端 适配器 的 MAC 地 址 ， 但 其 网 络 层 IP 头 部 的 目的 IP 地 址 字段 是 全 1 的 广播 地 址 。 
因此 ，DHCP 确认 消息 是 封装 在 单 播 数据 帧 中 的 广播 数据 包 。 对 于 这 种 消 晨 ， 只 有 发 送 相 
应 DHCP 请 求 消息 的 DHCP 客户 端 ， 也 就 是 本 例 中 的 笔记 本 电脑 才 会 将 这 个 消息 解 封 装 到 
网 络 层 和 更 高 屋 ， 其 他 设备 则 会 在 解 封装 到 以 太 网 头 部 就 发 现 这 个 消 轧 的 目的 地 址 不 是 
自己 而 将 这 个 数据 包 丢 弃 。 
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图 6-6 ”DHCP 确认 消息 的 封装 


大 于 DHCP 的 工作 流程 ， 还 有 一 个 不 得 不 谈 的 话题 ， 奢 就 是 DHCP 服务 器 确认 DHCP 
客户 端 可 以 使 用 的 IP 地 址 是 有 租 期 的 。 在 DHCP 环境 中 , 如 果 租 期 的 时 间 为 T， 那么 DHCP 
客户 疾 会 在 租 期 经 过 了 一 半 时 ,向 DHCP 服务 器 重新 发 送 续 租 该 卫 地 址 的 DHCP 请 求 消息 。 
由 此 ， 租 期 的 一 半 在 DHCP 语 境 中 称 为 T 时 刻 ， 当 DHCP 客户 端 接收 到 DHCP 确认 消息 时 ， 
它 就 会 重 置 一 个 T 计 时 器 ; 当 二 计 时 融和 时时，DHCP 客户 端 就 会 癌 DHCP 服务 器 发 送 单 
播 DHCP 请 求 消息 来 请 求 续 租 这 个 IP 地 址 。 除 Ti 计时 器 之 外 , 当 DHCP 客户 端 接收 到 DHCP 
确认 消息 时 ， 它 还 会 重 置 一 个 站 计时 器 。T 计时 器 的 时 间 为 了 的 87. 5%， 如 果 直 到 T; 计 
时 器 到 时 ，DHCP 客户 端 还 没有 接收 到 DHCP 服务 器 对 玉 IP 续 租 消 息 发 送 的 DHCP 确认 消 
县 ,那么 DHCP 客户 疹 就 会 在 局 域 网 中 发 送 广播 的 DHCP 清 求 消 息 来 请 求 续 租 这 个 IP 地址。 
在 续 租 阶段 , 除了 DHCP 服务 器 同 DHCP 客户 端 发 送 DHCP 铺 认 消 县 的 这 种 可 能 性 之 外 , 还 
有 可 能 出 现下 面 两 种 情况 i 

。 “DHCP 服务 右 不 同意 DHCP 客户 端 续 租 该 IP 地 址 : 此 时 DHCP 服务 器 会 向 DHCP 客 

户 站 发 送 一 条 DHCP 否认 (DHCP NAK) 消息 。 接 收 到 DHCP 否认 消息 的 DHCP 客户 
端 会 立刻 回 到 步骤 一 ， 从 广播 DHCP 发 现 消息 开始 重新 寻找 能 够 为 其 提供 可 用 
IP 地 址 的 DHCP 服务 器 ; 
。 DHCP 服务 器 始终 没有 响应 续 租 IP 地 址 的 DHCP 请 求 消息 : 如 果 出 现 这 种 情况 ， 那 
么 DHCP 客户 站 会 在 该 IP 地 址 真正 到 期 时 回 到 步骤 一 ， 从 广播 DHCP 发 现 消息 开始 
重新 寻找 能 够 为 其 提供 可 用 IP 地 址 的 DHCP 服务 器 ， 并 向 其 请 求 租 用 IP 地 址 。 
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最 后 ， 我 们 需要 呼应 一 下 在 6. 1. 1 市 最 后 壮 留 的 一 个 话题 ， 通过 广播 发 送 DHCP 请 
求 意味 着 每 个 子 网 中 都 必须 部 署 有 DHCP 服务 器 , 因为 广播 请 求 难免 会 被 三 层 设备 的 接口 
隔离 ， 如 果 希 望 部 演 在 一 个 子 网 中 的 DHCP 服务 器 也 能 够 为 男 一 个 子 网 提供 服务 , 就 必须 
定义 配套 的 机 制 来 解决 广播 不 出 子 网 的 问题 。 为 此 ，DHCP 定义 了 DHCP 中 继 代理 的 角色 。 
管理 员 可 以 在 没有 DHCP 服务 器 的 网 络 中 将 一 台 网 络 设 备 配 置 为 DHCP 中 继 代 理 。 这 样 一 
来 ， 当 这 台 设 备 接收 到 DHCP 客户 端 广 播发 送 的 (DHCP 发 现 和 DHCP 请 求 ) 消息 之 后 ， 它 
会 将 这 些 广播 消息 以 单 播 的 形式 转发 给 DHCP 服务 器 , 而 DHCP 服务 器 在 向 DHCP 中 继 代 理 
回复 DHCP 提供 消息 时 ， 会 以 单 播 的 形式 发 送 给 DHCP 中 继 代 理 ，DHCP 中 继 代 理 则 会 将 
DHCP 提供 消息 广播 到 DHCP 客户 端 所 在 的 子 网 当中 , 就 像 DHCP 中 继 代理 就 是 这 个 子 网 中 
的 DHCP 服务 器 那样 。 如 图 6-7 套 示 。 
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图 6-7 DHCP 中 继 代 理 的 作用 





在 图 6-7 中 ， 路 由 器 只 是 一 台 DHCP 中 继 代 理 ， 因 此 当 路 由 器 接 收 到 在 子 网 中 发 现 
DHCP 服务 器 和 请 求 IP 地 址 的 数据 包 时 ， 它 会 将 真实 DHCP 服务 需 的 IP 地 址 作为 该 数据 
包 的 目的 IP 地址 ,将 这 些 数据 包 以 单 播 的 形式 转发 给 位 于 男 一 个 子 网 中 的 DHCP 服务 喜 ， 
这 就 突破 了 DHCP 广播 消 有 息 无 法 翻越 子 网 的 障碍 ， 让 使 用 一 个 DHCP 服务 右 来 为 多 个 子 网 
中 的 终端 提供 动态 配置 参数 的 部 署 方案 成 为 了 可 能 。 
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在 6. 1.2 节 中 ， 我 们 采用 图 文 结 合 的 方式 ， 对 DHCP 四 类 消息 的 封装 方式 进行 了 较 
为 详细 的 介绍 。 在 6. 1. 3 节 中 ， 我 们 会 结合 DHCP 消息 的 封装 方式 与 字段 ， 分 析 DHCP 协 
议 是 如 何 为 网 络 提供 所 需 服务 的 。 


6.1.3 DHCP 的 封装 格式 
协议 的 功能 需要 通过 定义 协议 的 封闭 方式 来 实现 ， 而 DHCP 的 封装 格式 我 们 早 在 本 

系列 教材 的 《网 络 基础 》 中 就 已 经 通过 第 8 章 中 图 8-6 进行 了 展示 。 为 了 方便 在 6. 1.3 

节 中 展开 讨论 ， 我 们 重新 将 该 图 粘贴 为 本 册 教 材 的 图 6-8。 
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红 开 等 
图 6-8 ”DHCP 封装 格式 * 
尽管 图 6-8 已 经 在 本 系列 教材 的 《网 络 基础 》 中 出 砚 过 了 ， 但 是 当时 我 们 几乎 没有 
对 其 中 的 各 个 字段 提供 任何 的 解释 。 在 6. 1. 3 节 中 ， 我 们 结合 6. 1. 2 节 中 的 内 容 对 其 中 
用 粗 体 标记 的 字段 进行 解释 。 某 余 字 段 的 重要 性 相对 比较 小 ， 与 6. 1. 2 节 的 内 容 也 没有 
太 大 相关 性 ,本 书 略 过 不 提 。 对 非 粗 体 字 学 段 感 兴趣 且 学 有 余力 的 读者 ,可 以 参考 RFC 951 
和 RFC 2131 来 了 解 这 些 字 段 的 作用 。 
e 操作 类 型 (简称 0P) : 这 个 字段 标识 的 是 这 是 一 个 由 客户 端 发 送 给 服务 器 的 消 
息 ， 还 是 一 个 由 服务 器 发 送 给 客户 端的 消息 。 若 为 前 者 ， 则 操作 类 型 字段 的 取 
值 为 0x01， 因此 我 们 在 6. 1. 2 节 中 介绍 的 DHCP 发 现 消息 和 DHCP 请 求 消息 的 操 
作 类 型 值 为 0x01; 奎 为 后 者 ， 则 操作 类 型 字段 的 取 值 为 0x02， 因 此 DHCP 提供 
消息 、DHCP 确认 消息 和 DHCP 和 否认 消息 操作 类 型 字段 的 取 值 为 0x02; 
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硬件 类 型 (简称 HTYPE) : 硬件 类 型 标识 的 是 硬件 地 址 的 类 型 。 在 6. 1. 2 节 中 ， 
DHCP 服务 器 和 DHCP 客户 端 是 在 以 太 网 环境 中 进行 通信 的 。 对 于 以 太 网 环境 中 
使 用 的 MAC 地 址 ，DHCP 会 将 消息 的 硬件 类 型 字段 设置 为 0x01; 

硬件 地 址 长 度 〈 简 称 HLEN) : 硬件 地 址 长 度 字段 标识 的 是 该 媒介 的 地 址 由 几 个 
八 位 组 组 成 。 以 太 网 使 用 的 地 址 为 MAC 地 址 , 而 MAC 地 址 的 长 度 为 6 个 八 位 组 ， 
因此 在 6.1.2 节 所 示 的 环境 中 ， 所 有 DHCP 消息 的 硬件 地 址 长 度 字 段 值 皆 为 
0x06; 、 

交互 ID (也 称 为 交易 ID， 简称 XID) : 在 6. 1: 怨 节 中 ， 我 们 曾经 遗留 了 一 个 问 
题 ， 即 当 DHCP 提供 消 奶 用 广播 的 形式 发 送 ， 而 一 个 子 网 中 又 不 只 有 一 台 DHCP 
客户 端 时 ，DHCP 客户 端 如 何 判 断 出 一 个 DHCP 提供 消息 是 不 是 在 向 自己 提供 可 
供 租 用 的 DHCP 地 址 呢 ? 准 案 是 ， 当 DHCP 客户 端 发 送 DHCP 发 现 消 息 时 , 它 会 设 
置 一 个 交互 ID, 在 DHCP 客户 端 接收 到 DHCP 提供 消息 时 ， 它 会 查看 这 个 消息 的 
交互 ID 字段: 如 果 客 户 端 发 现 这 个 字段 的 值 与 自己 发 送 的 DHCP 发 现 消息 〈 的 
交互 ID 字段 值 ) 一致， 即 代表 这 是 哮 CP 服务 器 发 送 给 自己 的 DHCP 提供 消息 ; 
如 不 一 致 , 则 代表 这 是 针对 其 他 DHCP 客户 端的 DHCP 发 现 消息 响应 的 DHCP 提供 
消息 ; 

标志 〈FLAGS， 也 可 译 为 标记 ) : 这 个 字段 的 作用 我 们 在 6. 1. 2 节 元 长 的 提示 信 
息 中 其 实 已 经 进行 了 说 明 。 它 的 作用 是 让 DHCP 客户 端 告知 DHCP 服务 器 ， 它 希 
望 以 单 播 的 形式 ,还 是 以 广播 的 形式 对 目 己 作出 啊 应 。 对 于 希望 DHCP 服务 器 问 
自己 发 送 单 播 的 DHCP 客户 端 ， 它 们 会 将 这 个 字段 的 数值 设置 为 0x0000， 否 则 
客户 端 会 将 这 个 字段 的 数值 设置 为 0x8000; 

客户 端 前 IP 地 址 〈 也 译 为 客户 端 IP 地 址 ， 简 称 CIADDR) : 当 一 个 DHCP 客户 
痛 请 求 IP 地 址 时 ， 它 未 必 当 前 没有 正在 使 用 的 IP 地 址 。 例 如 ， 当 一 人 台 DHCP 


个 IP 地 址 。 在 这 种 情况 下 ，DHCP 客户 端 应 该 将 这 个 字段 设置 为 自己 当前 正在 
使 用 的 IP 地 址 值 ; 

你 的 IP 地 址 (简称 YIADDR) : 当 DHCP 服务 器 向 DHCP 客户 端 提供 和 确认 一 个 
IP 地 址 时 , 它 就 会 将 这 个 字段 的 值 设 置 为 提供 和 确认 给 客户 端的 那个 IP 地 址 ; 
服务 器 IP 地 址 (简称 SIADDR) : 这 个 字段 的 作用 顾名思义 ， 就 是 标识 DHCP 服 
务 器 的 IP 地 址 。 当 DHCP 服务 器 使 用 DHCP 提供 消息 来 响应 DHCP 客户 端 发 送 的 
DHCP 发 现 消息 时 ， 或 者 用 DHCP 确认 消息 来 啊 应 DHCP 客户 端 发 送 的 DHCP 请 求 
消息 时 ， 它 会 将 这 个 字段 设置 为 自己 的 IP 地 址 ; 

代理 设备 IP 地 址 (也 称 网 关 IP 地 址 ， 简 称 GIADDR) : 这 个 字段 的 作用 是 标识 
DHCP 代理 中 继 的 IP 地 址 。 当 DHCP 代理 中 继 代 理 DHCP 服务 器 来 名 DHCP 客户 端 
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转发 DHCP 发 现 消 息 时 ， 它 会 将 这 个 字段 设置 为 自己 的 IP 地 址 ; 

。 客户 端 硬件 地 址 〈 简 称 CHADDR) : 这 个 字段 的 作用 是 标识 DHCP 客户 端的 硬件 
地 址 。 当 DHCP 客户 靖 在 局 域 网 中 以 广播 的 形式 发 送 DHCP 发 现 消息 时 ， 它 就 会 
将 这 个 字段 的 值 设置 为 目 己 的 人 硬件 地 址 值 ; 

e。 可 选项 : 这 个 字段 是 可 选 的 。 当 DHCP 客户 端 希 望 DHCP 服务 器 提供 其 他 配置 参 
数 ， 或 者 DHCP 服务 器 癌 DHCP 客户 端 提 供 其 他 参数 时 ， 都 会 通过 设置 可 选项 字 
段 来 进行 询问 、 提 供 、 请 求 和 确认 。 在 DHCP 服务 器 和 DHCP 客户 端 交 互 配置 参 
数 时 ， 它 们 除 IP 地 址 之 外 还 应 该 /可 以 交互 的 参考 包括 但 不 限于 : 该 地 址 的 租 
期 、 子 网 掩 伽 、 默 认 网 关 地 址 和 DNS 服务 器 地 址 。 

在 上 面 几 段 内 容 中 ,我 们 对 DHCP 消息 中 重要 的 字段 都 进行 了 介绍 。 由 于 在 介绍 6. 1. 2 
五 的 内 容 时 ， 我 们 还 没有 讲 到 DHCP 消息 包含 的 信息 ， 因 此 在 图 6-2、 图 6-3、 图 6-4 和 
图 6-6 中 我 们 只 能 刻意 规避 DHCP 消息 中 包含 的 内 容 。 在 学 习 完 6. 1. 3 节 之 后 , 我 们 鼓励 
谈 者 结合 6. 1. 2 市 与 6. 1. 3 节 学 习 到 的 内 容 , 填 写 出 这 4 张 图 中 DHCP 消息 各 个 加 粗 字段 
应 该 和 有 可 能 设置 的 值 。 

在 6.1.2 区 与 6.1.3 节 中 ， 我 们 详细 地 介绍 了 DHCP 协议 的 工作 原理 。 通 过 这 两 节 
的 内 容 , 读者 应 该 可 以 感受 到 DHCP 协议 本 身 实 际 上 缺乏 足够 的 安全 认证 机 制 , 这 给 DHCP 
协议 的 使 用 制造 了 一 定 的 隐患 。 在 6. 1. 4 节 中 ， 我 们 会 对 这 种 隐患 有 可 能 给 网 络 引入 的 
安全 风险 进行 说 明 。 : 


*6.1.4 DHCP 欺骗 攻击 概述 


恨 多 梁 唤 贡 击 都 是 在 利用 伯 议 自身 讽 生 访 证 机 制 的 砚 队 。 因 涯 通 信和 机 机 及 身 汛 法 让 
通信 参与 方 相互 确认 身份 ， 所 以 攻击 者 有 机 会 将 自己 伪装 成 某 个 通信 方 ， 在 网 络 中 涉 法 
窃取 通信 信息 或 者 让 通信 无 法 正常 进行 。 

对 于 DHCP 机 制 来 说 ， 发 起 欺骗 攻击 的 攻击 者 一 般 是 采用 下 列 两 种 形式 达到 攻击 的 
目的 : 一 种 是 冒充 成 DHCP 服务 器 ， 另 一 种 是 冒充 成 DHCP 客户 端 。 下 面 我 们 对 这 两 种 攻 
击 方式 的 手段 和 目的 分 别 进行 一 下 介绍 。 

冒充 成 DHCP 服务 器 的 做 潜 相 对 来 说 更 加 常见 。 攻 击 者 让 自己 的 设备 充当 DHCP 服 
务 器 ， 主 动 对 局 域 网 中 其 他 设备 发 出 的 DHCP 发 现 消 息 进行 响应 。 通 过 这 种 方式 ， 攻 击 
者 可 以 达到 各 种 各 样 的 目的 。 比 如 说 ,攻击 者 可 以 在 响应 的 DHCP 提供 消息 中 ， 通 过 可 
选项 字段 ( 见 图 6-8) 将 DNS 服务 器 的 地 址 和 默认 网 关 的 地 址 指向 自己 。 这 样 达到 的 攻 
击 效果 是 让 受害 设备 将 所 有 去 往外 部 网 络 的 数据 都 发 送 给 自己 ， 从 而 将 自己 插入 到 受 
害 设备 与 外 部 网 络 通信 的 路 径 当 中 , 通过 这 种 方法 获取 受害 设备 发 送 的 数据 , 如 图 6-9 
所 示 。 
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路 由 规 
(充当 DHCP 服务 器 ) 









( 伪 DH DHCP 服务 器 发 送 的 ) 3 





(真正 DHCP 服务 器 发 送 的 ) 、 DHCP 提供 消息 : 
DHCP 提供 消息 = 目前 10.1.1.5 可 用 
10.1.1.5 :网 类 是 10.1.1.4 
网 关 是 10.1.1.1 | 


台式 机 | 台式 机 笔记 本 电脑 1 笔记 本 电脑 2 
(伪装 的 DBPHCP 服务 器 ) ‘(DHCP 客户 端 ) 


图 6-9 ”攻击 者 伪装 成 DHCP 服务 器 将 自己 插入 到 受害 设备 与 外 部 网 络 通信 的 路 径 中 


在 图 6-9 中 ， 当 作为 DHCP 客户 疹 的 笔记 本 电脑 2 接收 到 伪 猴 的 DHCP 服务 器 发 送 的 
DHCP 提供 消息 之 后 ， 它 就 会 开始 针对 这 个 DHCP 提供 消息 发 送 DHCP 请 求 消息 ， 在 获得 伪 
DHCP 服务 器 的 确认 之 后 , 客户 端 (笔记 本 电脑 2) 就 会 将 自己 的 默认 网 关 设置 为 10. 1. 1. 4。 
自 此 ， 它 在 加 本 地 网 络 之 外 发 送 流量 时 ， 都 会 以 笔记 本 电脑 1 的 MAC 地 址 作为 目的 MAC 
地 址 来 封装 数据 帧 ,而 交换 机 也 会 将 这 些 数据 帧 转发 给 笔记 本 电脑 1, 由 此 笔记 本 电脑 1 
就 会 接收 到 所 有 笔记 本 电脑 2 准备 发 送 给 外 部 网 络 的 流量 。 

尽管 在 图 6-9 所 示 的 网 络 中 路 由 器 作为 DHCP 服务 器 一 直 在 正常 工作 ， 这 也 无 法 避 
免 DHCP 客户 端 遭 到 欺骗 。 这 其 中 的 道理 我 们 也 曾经 在 第 6. 1.2 节 “(DHCP 的 工作 方式 ) 
的 注释 中 提 到 过 , 那 就 是 几乎 所 有 操作 系统 在 运行 DHCP 客户 端 时 ,都 会 请 求 自己 最 先 接 
收 到 DHCP 提供 消息 中 包含 的 配置 参数 。 所 以 ， 只 要 伪装 的 DHCP 服务 器 提供 的 啊 应 先 于 
真正 的 DHCP 服务 器 所 提供 的 响应 到 达 DHCP 客户 端 ,那么 DHCP 客户 端 就 没有 理由 不 同 伪 
装 的 DHCP 服务 器 请 求 使 用 它 提供 的 配置 信息 。 
| 攻击 者 将 自己 冒充 成 DHCP 客户 端的 做 法 类 似 于 MAC 地 址 泛 洪 攻击 ， 其 目的 无 非 是 

为 了 耗 尽 DHCP 服务 器 上 所 拥有 的 IP 地 址 资源 。 众所周知 , 一 台 DHCP 服务 器 可 供 租用 给 

一 个 子 网 的 IP 地 址 资源 终究 是 有 限 的 ， 如 果 攻 击 者 冒充 成 大 量 DHCP 客户 端 来 癌 DHCP 
服务 器 请 求 大 量 的 IP 地 址 资源 ， 那 么 当真 正 需要 租用 IP 地 址 的 DHCP 客户 痛 再 同 DHCP 
服务 器 请 求 IP 地 址 时 ，DHCP 服务 器 就 已 经 没有 IP 地 址 可 供 分 配 了 。 因 此 ， 这 又 是 一 种 
通过 泛 潜 实现 的 拒绝 服务 攻击 ， 如 图 6-10 所 示 。 
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不 好 意思 ， 网 络 中 设备 太 多 ， 
a 和 





路 由 路 a ee SN 
(充当 DHCP 服务 器 ) 有 的。 人 
、、 话 请 给 我 提供 配置 参数 一 
人 


台式 机 1 台式 机 2 笔记 本 电脑 1 笔记 本 电脑 2 
(伪装 出 很 多 MAC 地 址 的 攻击 者 ) 
图 6-10 攻击 者 伪装 出 大 量 DHCP 客户 端 耗 问 DHCP 服务 器 上 的 IP 地 址 资源 


利用 DHCP 服务 器 IP 地 址 资源 有 限 这 一 点 发 起 泛 洪 攻击 的 做 法 还 有 一 点 类 似 于 MAC 
地 址 泛 洪 攻击 ， 那 就 是 DHCP 服务 器 并 不 会 同时 向 具有 相同 MAC 地 址 的 设备 重复 提供 IP 
地 址 , 因此 想 要 发 起 这 种 攻击 , 攻击 者 同样 需要 在 一 台 设 备 上 伪造 大 量 不 同 的 ac 地址。 
这 种 则 在 耗竭 DHCP 服务 器 上 IP 地 址 资源 的 攻击 工具 实际 上 在 互联 网 也 已 经 唾 手 可 得 。 

好 消息 是 ， 上 述 利用 DHCP 缺乏 认证 机 制 发 起 的 攻击 是 比较 陈旧 的 攻击 方式 ， 目 前 
应 对 这 类 攻击 的 链 路 层 安全 技术 已 经 比较 成 熟 。 本 书 在 这 里 旨 在 向 读者 介绍 这 些 针对 
DHCP 发 起 的 攻击 ， 防 御 这 些 攻击 的 安全 技术 在 此 不 做 过 多 介绍 ， 感 兴趣 的 读者 可 以 查阅 
华为 技术 文档 或 者 向 任课 教师 请 教 。 


6.2 DHCP 配置 
Fa 
在 前 文中 详细 介绍 了 与 DHCP 相关 的 理论 知识 后 ， 我 们 来 看 看 如 何 把 华为 设备 配置 
为 一 台 DHCP 服务 器 ， 以 及 DHCP 中 继 代 理 。 除 了 可 以 充当 DHCP 服务 器 和 DHCP 中 继 代理 
外 ， 华 为 设备 还 可 以 充当 DHCP 客户 端 ， 从 DHCP 服务 器 那里 动态 获取 IP 地 址 。 把 华为 设 
备 配置 为 DHCP 客户 端的 方法 非常 简单 ， 我 们 会 在 DHCP 服务 器 的 配置 中 一 并 展示 。 


6.2.1 DHCP 服务 器 的 配置 
除了 在 网 络 中 单独 架设 一 台 服 务 器 作为 DHCP 服务 器 外 ， 使 用 华为 网 络 设备 的 管理 
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员 还 有 男 一 种 选择 , 那 就 是 直接 让 华为 设备 在 充当 网 关 的 同时 ,还 提供 DHCP 服务 器 功能 。 
6. 2. 1 节 将 为 读者 展示 如 何 把 一 台 华 为 路 由 器 配置 为 DHCP 服务 器 。 不 同型 号 的 华为 路 由 
器 能 够 文 持 的 DHCP 客户 端 数 量 也 不 尽 相 同 , 管理 员 需 要 查询 具体 的 设备 文档 , 来 确定 自 
己 的 路 由 器 能 够 支持 多 少 个 DHCP 客户 端 。 
要 想 让 华为 路 由 器 提供 DHCP 服务 器 功能 ， 管 理 员 可 以 使 用 两 种 方式 进行 配置 。 
e。 基于 接口 地 址 池 的 配置 方式 : 这 是 使 用 路 由 器 提供 DHCP 服务 的 最 简单 方法 , 路 
由 器 能 够 为 接口 连接 的 同一 IP 子 网 中 的 DHCP 客户 靖 动 态 分 配 IP 地 址 和 网 关 
地 址 ; - 
e。 ”基于 全 局 地 址 池 的 配置 方式 :路 由 品 不 仅 能 够 为 与 本 地 接口 同属 于 一 个 IP 子 网 
的 DHCP 客户 端 分 配 IP4 地 址 ， 还 能 够 通过 配置 全 局 地 址 池 ， 为 非 直 连 的 DHCP 
客户 端 分 配 (其 他 IP 子 网 中 的 ) IP 地 址 。 
下 面 我 们 分 别 介绍 这 两 种 配置 方式 的 具体 配置 步骤 和 命令 。 
1. 基于 接口 地 址 池 的 配置 方式 
基于 接口 的 配置 方式 实施 起 来 最 简单 ， 适用 于 使 用 路 由 器 为 其 楼 口 亡 连接 的 六 学 
网 动态 分 配 IP 地 址 的 情况 。 要 想 基 于 接口 地 址 池 ， 把 华为 路 由 器 配置 为 DHCP 服务 器 ， 
管理 员 需 要 执行 以 下 操作 。 
步骤 和 在 路 由 器 上 局 用 DHCP 功能 。 
dhcp enable: 使 用 系统 视图 命令 为 路 由 器 局 用 DHCP 功能 。 
步骤 2 在 充当 网 关 的 路 由 器 接口 上 启用 DHCP 服务 器 功能 并 可 选 地 配置 租 期 、 不 
参与 分 配 的 IP 地址 、 回 定 分 配 的 IP 地 址 等 信息 。 
_dhcp select interface: 使 用 接口 视图 命令 为 指定 路 由 器 接口 启用 DHCP 功能 ， 并 
指定 这 个 接口 使 用 基于 接口 的 地 址 池 ; 
dhcp server lease {day day [hour hour [minute minutel] | unlimited}: (可 
选 ) 使 用 接口 视图 命令 来 修改 IP 地 址 的 租 期 ， 默 认 租 期 为 1 天 ; 
dhcp server excluded-ip-address start-ip-address [end-ip-address|: (可 
选 ) 使 用 接口 视图 命令 在 动态 分 配 的 IP 地 址 范围 中 排除 一 些 IP 地 址 。 管 理 员 可 以 多 次 
执行 这 条 命令 ， 有 选择 地 排除 一 些 IP 地 址 ; 
dhcp server static-bind ip-address ip-address mac-address mac-address: 
(可 选 ) 使 用 接口 视图 命令 为 指定 客户 端 固定 分 配 一 个 IP 地 址 。 分配 的 IP 地 址 必须 在 接 
口 地 址 池 范 围 中 ， 并 且 未 被 动态 地 分 配 出 去 。 
我 们 以 图 6-11 所 示 拓 扑 为 例 ， 展 示 基 于 接口 地 址 池 的 DHCP 服务 器 配置 。 
在 图 6-11 所 示 的 网 络 环境 中 ， 路 由 器 AR1 DHCP SERVER 作为 企业 网 络 中 的 网 关 路 
由 器 , 一 边 通过 接口 60/0/0 连接 Internet, 一边 通过 两 个 物理 接口 (G60/0/1 和 G0/0/2) 
连接 企业 中 的 两 个 子 网 。 现 在 要 求 管理 员 对 AR1_DHCP_SERVER 进行 配置 ， 使 其 能 够 充当 
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DHCP 服务 器 ， 为 两 个 企业 子 网 中 的 DHCP 客户 新 分 配 IP 地 址 。 同 时 ，AR1_DHCP_SERVER 
还 需要 充当 DHCP 客户 端 ， 从 ISP 路 由 需 那 里 动态 获取 IP 地 址 信息 。 例 6-1 中 展示 了 管 
理 员 在 AR1 DHCP_SERVER 上 执行 的 DHCP 服务 器 配置 。 


VLAN 10 | 
10.0.10.10/27 | 





AR1_DHCP_SERVER ISP 路 由 器 
| GO/O/1 - 路 由 器 


7 EE Eee 
pC20 | GO/N 


i 
VLAN 20 
10.0.20.20/26 




















图 11 基于 接口 地 址 池 配 置 DHCP 服务 器 


例 6-1 在 AR1_DHCP _ SERVER 上 基于 接口 地 址 池 配 置 DHCP 服务 器 
[AR1 DHCP SERVER]dhcp enable 


Info: The operation may take a few a wait for a moment. done. 

[AR1 DHCP SERVER|interface gigabitethernet 0/0/1 

LAR1 DHCP. SERVER-GigabitEthernet0/0/1]ip address 10.0.10.1 255, 255. 255\224 

[AR1 DHCP SERVER-GigabitEthernet0/0/1ldhcp select interface . 

[AR1_DHCP SERVER-GigabitEthernet0/0/1]quit 

[AR1 DHCP SERVER|interface gigabitethernet 0/0/2 

[AR1 DHCP_ SERVER-GigabitEthernet0/0/2]ip address 10.0.20.1 255. 255. 255. 192 

Wa 

从 例 6-1 中 的 配置 我 们 可 以 看 出 ， 要 想 在 路 由 器 的 接口 上 局 用 DHCP 服务 器 功能 ， 
管理 员 首 先 需 要 在 系统 视图 中 ， 全 局 局 用 DHCP 功能 ， cn ent DHCP 服务 的 接口 
上 ， 逐 一 局 用 DHCP 服务 器 功能 。 例 6-2 中 展示 了 PC1 人 和 PC20 分 别 通过 DHCP 目 动 获得 


]dhcp select interface 





IP 地 址 信息 。 家 
例 6-2 PC10 和 PC20 获得 的 IP 地 址 信息 
PC10>ipconfig 和 - 
Link ocal IPy6 address,:......... : fe80::5689:98ff:fedd:436d 
1 
人 二 
IPv4 address TO 0 下 10. 0. 10. 30 
站 人 55 
Gateway, ..;.... Sd i 10.0. 10. 1 
Pvcal ddressts sim ss a : 54-89-98-DD-43-6D 


a 


DNDI BLVen i er ; 

PC20>ipconfig 

Link local IPv6 address........... : fe80::5689:98ff:feaf:725d 
上 

IPv6 Be A 

We atoress CO sae dine : 10,0.20.62 

St 265 200192 
6 ve re .00s , 
ES : 54-89-98-AF-72-5D 
ES 
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在 例 6-2 中 ， 管 理 员 分 别 在 两 台 终端 PC 上 执行 了 ipconfig 命令 ， 这 条 命令 可 以 在 
Windows 系统 中 查看 设备 的 IP 地 址 信息 。 从 阴影 部 分 可 以 看 出 ， 两 台 PC 都 获得 了 IE 地 
址 / 措 人 码 和 网 关 人 信息， 其 中 它们 各 目的 网 关 分 别 就 是 路 由 器 ARL _DHCP SERVER 上 启用 了 


DHCP 服务 器 功能 的 两 个 接口 IP 地 址 。 


本 例 中 只 展示 了 必需 命令 的 配置 ， 读 者 可 以 在 实验 练习 中 ， 根 据 步骤 2 中 给 出 的 命 


例 6-3 中 展示 了 管理 员 在 AR1 DHCP SERVER 上 执行 的 DHCP 客户 端 配置 。 


例 6-3 在 AR1 DHCP SERVER 上 配置 DHCP 客户 端 


[ARI DHCP SERVER]interFace gigabitethernet 0/0/0 


[AR1 DHCP SERVER ~GigabitEthernet0/0/0]ip address dhcp-alloc 


从 例 6-3 所 示 命 令 可 以 看 出 ， 管 理 员 在 连接 ISP 路 由 器 的 接口 上 配置 了 命令 ip 
address dhcp-alloc， 这 条 命令 就 在 接口 上 启用 了 DHCP 客户 端 功 能 。 例 6-4 所 示 命 令 的 


输出 内 容 中 确认 了 G0/0/0 接口 获得 的 IP 地 址 。 
例 6-4 确认 G0/0/0 接口 获得 的 IP 地 址 
[AR1 DHCP _ SERVER]jdisplay ip interface g0/0/0 
GigabitEthernet0/0/0 current state : UP 
Line protocol current state : UP 
The Maximum Transmit Unit : 1500 bytes 
input packets : 0, bytes : 0, multicasts : 0 
output packets : 6, bytes : 1968, multicasts : 0 


Directed-broadcast packets: 


received packets: 0, sent packets: 
forwarded packets: 0，dropped packets: 
ARP packet input number: 9 


Request packet: 9 
Reply packet: 0 
Unknown packet: 0 


su, 是 芝 罗 0 
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Internet Address is allocated by DHCP, 202. 108. 0. 1730 
Broadcast address : 202. 108. 0. 3 
TTL being 1 packet number : 
TTL invalid packet number: 
ICMP packet input number: 
Echo reply: 
Unreachable: 
Source quench : 
Routing redirect: 
Echo frequest : 
Router advert : 
Router solicit: 
Time exceed : 
IP header bad: 
Timestamp request : 
Timestamp reply: 
Information request: 
Information reply: 
Netmask request: 叶 
二 
Unknown type: 0 全 
从 例 6-4 的 阴影 行 我 们 可 以 看 出 ，AR1_DHCP_SERVER 的 接口 60/0/0 通过 DHCP 获得 
了 IP 地址 202. 108. 0. 1/30。 
2. 基于 全 局 地 址 池 的 配置 方式 | 
要 想 在 华为 路 由 右上 配置 基于 全 局 地 址 池 的 DHCP 服务 器 ， 管 理 员 需要 执行 以 下 操作 。 
步骤 1 在 路 由 器 上 局 用 DHCP 功能 
dhcp enable: 使 用 系统 视图 命令 为 路 由 器 司 用 BHCP 功能 。 
步骤 2 ”创建 地 址 池 并 可 选 地 配置 网 天地 址 、 租 期 、 不 参与 分 配 的 IP 地 址 、 固 定 分 
配 的 IP 地 址 等 信息 。 
ip pool ip-poo7-name: 丢 用 系统 视图 命令 创建 地 址 池 并 进入 地 址 池 视 图 ; 
network ip-address [mask {mask.| mask-1ength}]: 使 用 地 址 池 视 图 命令 配置 地 
址 池 中 能 够 动态 分 配 的 IP 地 址 范围 。 一 个 地 址 池 中 只 能 配置 一 个 IP 地 址 范围 ; 
gateway-list ip-address: 〈 可 选 ) 使 用 地 址 池 视 图 命令 指定 网 关 IP 地 址 ; 
lease {day day [hour hour [minute winute]] | unlimited}l : (可 选 ) 使 用 地 
址 池 视 图 命令 来 修改 IP 地 址 的 租 期 ， 默 认 租 期 为 1 天 ; 
excluded-ip-address start-ip-address Lend-ip-addressj]: (可 选 ) 使 用 地 址 


池 视 图 命令 在 动态 分 配 的 IP 地 址 范围 中 排除 一 些 IP 地 址 。 管 理 员 可 以 多 次 执行 这 条 命 
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Netmask reply: 
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令 ， 有 选择 地 排除 一 些 IP 地 址 ; 

static-bind ip-address ip-address mac-address mac-address: (可 选 ) 使 用 
地 址 池 视 图 命令 为 指定 客户 端 固定 分 配 一 个 IP 地 址 。 分 配 的 IP 地 址 必须 在 接口 地 址 池 
范围 中 ， 并 且 未 被 动态 地 分 配 出 去 。 

步骤 3 在 充当 网 关 的 路 由 器 接口 上 启用 DHCP 服务 器 功能 。 

dhcp select global: 使 用 接口 视图 命令 为 指定 路 由 器 接口 启用 DHCP 功能 ， 并 指 

定 这 个 接口 使 用 全 局 地 址 池 。 
我 们 以 图 6-12 所 示 拓 扑 为 例 ， 展 示 基 于 全 局 地 址 池 锡 DHCP 服务 器 配置 。 


PC10 


| : 
六 人 AR1 DHCP SERVER 


10.0.10.0/27 









FTP 服务 器 Internet 


GO/O/0 


10.0.10.30/27 


图 6-12 基于 全 局 地 址 池 配 置 DHCP 服务 器 


在 图 6-12 所 示 的 网 络 环境 中 ， 路 由 器 AR1_DHCP_SERVER 作为 企业 网 络 中 的 网 关 路 
由 器 ， 一 边 通过 接口 60/0/0 连接 Internet， 一 边 通过 接口 60/0/1 连接 企业 内 网 。 现 在 
要 求 管理 员 对 AR1_DHCP_SERVER 进行 配置 , 使 其 能 够 充当 DHCP 服务 器 ,为 企业 子 网 中 的 
DHCP 客户 曾 动 态 分 配 IP 地 址 。 

e 网 关 地 址 为 10. 0. 10. 1: 

e 为 FTP 服务 器 (MAC 地 址 为 54-89-98-9F-49-FF) 分 配 IP 地 址 10. 0. 10. 30; 

e。 保留 5 个 IP 地址 暂 不 分 配 (10. 0. 10. 25 一 10. 0. 10. 29) ， 为 即将 安装 的 网 络 打 

印 机 等 设备 预 留 

e。 动态 分 配 的 IP 地 址 租 期 为 30 天 。 

例 6-5 中 展示 了 管理 员 在 AR1 _DHCP_ SERVER 上 执行 的 DHCP 服务 器 配置 。 

例 6-5 在 AR1_DHCP SERVER 上 基于 全 局 地 址 池 配 置 DHCP 服务 器 

[AR1_DHCP_SERVER]ip pool Pool_ ARI1 

[AR1 DHCP SERVER-ip-pool-Pool AR1jnetwork 10.0.10.0 mask 255. 255. 255. 224 

[AR1 DHCP SERVER-ip-pool-Pool ARllgateway-list 10.0. 10. 1 

[AR1 DHCP SERVER=-ip-poo1l-Pool AR1jexcluded-ip-address 10. 0. 10. 25 10. 0. 10. 29 

[AR1 DHCP_ SERVER-ip-pool-Pool ARllstatic-bind ip-address 10.0.10.30 mac-address 
5489-989f-49ff 


[AR1L DHCP SERVER-ip-pool-Pool AR1jlease day 30 
[AR1 DHCP SERVER-ip-pool-Pool ARllguit 
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[AR1_DHCP_SERVERjdhcp enable 

[AR1 DHCP SERVER]interface gigabitethernet 0/0/1 

[AR1 DHCP SERVER-GigabitEthernet0/0/1jdhcp select global 

从 例 6-5 中 的 配置 我 们 可 以 看 出 ， 管 理 员 创建 了 IP 地 址 池 Pool_AR1， 并 按照 需求 
进行 了 配置 。 例 6-6 中 查看 了 这 个 IP 地 址 池 的 配置 和 状态 信息 。 

例 6-6 查看 IP 地 址 池 信 息 

[AR1 DHCP SERVERjdisplay ip pool name Pool AR1 


Poo1-name : Pool AR1 
Pool-No A 
Lease : 30 Days 0 Hours 0 Minutes 


Domain-name = 
DNS-server0 
NBNS~server0 ， : - 
Netbios-type :— 














Position : Local Status : Unlocked = 大 
Gateway-0  : 10.0.10.1 
Mask 286. 255. 255. 224 
VEN Jnestarce =- 
i ME eT od ER ee 
~ Start End Total Used Idle(Expired) Conflict Disable 
二 
0 1 全 ER 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 


管理 员 在 例 6-6 中 使 用 了 命令 display ip pool name Pool AR1 来 查看 指定 地 址 池 
的 状态 。 第 一 个 阴影 行 显示 出 IP 地 址 的 租 期 为 30 天 ， 默 认为 1 天 。 第 二 个 阴影 行 显示 
出 网 关 地 址 为 10. 0. 10. 1。 第 三 个 阴影 行 显示 出 IP 地 址 的 分 配 统计 信息 ， 其 中 最 后 一 列 
(Disable) 的 5 表示 管理 员 排 除了 5 个 IP 地 址 暂 不 分 二 。 

例 6-7 验证 了 FTP 服务 器 获得 的 IP 地 址 ， 以 及 PC40 获得 的 IP 地 址 。 

例 6-7 查看 FTP 服务 器 的 IP 地 址 信息 


FTP>ipconfig 全 

Ln ludl TV adnase de : fe80::5689:98ff:fegf:49ff 
TRYO addnbon i oy ane I Ml 

I tea om a J 

IPv4 address.......... ,As A 

Subvet me a de i ; 255. 255. 255. 224 

lm a A ee [+ J | 

Physical address .7.4 st §4-89-98-9F=49=FF 

Ny SoP me MD 


人 全 
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PC10>ipconfig 

Eink local IPv6' address: ,sii : fe80::5689:98ff:fedd:436d 
eranrose sas Ue co 

EE AE Oy cad, a 

天 用 -下 
ee a Um Ee : 255. 255. 255. 224 
ROW 人 

Physica)l AddreOSS ey DO DD er 

DN DOrvoer Ia ee i vaie'k J ly 


从 例 6-7 所 示 命 令 的 输出 内 容 中 我 们 可 以 看 出 ，MAC 地 址 为 54-89-98-9F-49-FF 的 
FTP 服务 器 获得 了 卫 地 址 10. 0. 16. 30， 这 也 是 管理 员 在 IP 地 址 池 中 青 态 绑 定 的 MAC 地 
址 与 IP 地 址 。 从 下 半 部 分 PC10 的 命令 输出 内 容 中 我 们 可 以 看 出 ，PC10 获得 的 IP 地 址 
为 10. 0. 10. 24。 管 理 员 在 配置 中 预 留 了 IP 地 址 10. 0. 10. 25 一 10. 0. 10. 29， 因 此 PC10 
获得 了 可 用 IP 地 址 范围 中 的 最 大 IP 地 址 10. 0. 10. 24。 

6. 2. 1 节 展 示 了 DHCP 服务 器 与 DHCP 客户 端 同属 于 一 个 IP 子 网 的 情况 , 它们 之 间 没 
有 间隔 任何 三 层 路 由 设备 。 当 DHCP 服务 器 与 DHCP 客户 端 不 属于 同一 个 IP 子 网 时 , 就 需 
要 依靠 DHCP 中 继 代 理 来 转发 DHCP 消息 。 在 6. 2. 2 节 中 , 我 们 将 会 展示 这 种 环境 中 的 DHCP 


6.2.2 ”DHCP 中 继 的 配置 


在 6.2.1 节 中 ， 我 们 介绍 了 如 何 把 作为 网 关 的 路 由 器 配置 为 DHCP 服务 器 ， 让 它 为 
同一 个 IP 子 网 中 的 DHCP 客户 端 动态 提供 IP 地 址 信息 。6. 2. 2 节 我 们 还 将 延续 使 用 
6. 2. 1 节 中 的 拓扑 ， 并 在 其 基础 上 添加 一 台 路 由 器 和 两 个 IP 子 网 。 把 AR1 仍 作为 整个 网 
络 中 的 DHCP 服务 器 ， 新 添加 的 AR2 作为 DHCP 中 继 代 理 ， 共 同 为 新 添加 的 两 个 子 网 提供 
动态 IP 地 址 信息 。 图 6-13 所 示 为 6. 2. 2 节 使 用 的 拓扑 。 

PC10 | 


| ARI DHCP SERVER 
















二 100.10.0/27 


GO/O/1 
VLAN 10 


G0/0722 
10.0.12.0/30 


G0/0/2 
= 
二 172.16.30.0/26 
GO/0/1 
VLAN30 ) 


图 6-13 ”DHCP 中 继 配置 使 用 的 拓扑 











AR2 DHCP RELAY 
172.16.40.0/26 
















Rn VLAN40 


本 例 的 实验 建立 在 例 6-5 配置 的 基础 上 ， 也 就 是 AR1 上 已 经 启用 了 全 局 DHCP 配置 ， 
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并 已 经 正和 为 YLAN10 分 配 IP 地 址 。 在 接 下 来 的 配置 中 ， 我 们 首先 在 AR1 上 添加 两 个 全 
局 地 址 池 ， 分 别 指定 VLAN 30 和 VLAN 40 使 用 的 IP 子 网 和 网 关 地 址 。 例 6-8 展示 了 AR1 
上 新 添加 的 两 个 全 局 地 址 池 ， 以 及 G0/0/2 接口 的 配置 。 

例 6-8 AR1_DHCP _SERVER 上 新 添加 的 配置 

[AR1_DHCP SERVER] ip pool Pool AR2 VLAN30 

Info: It s successful to create an IP address pool. 

LAR1_DHCP_SERVER=-ip-poo1-Pool_AR2 VLAN30]network 172. 16. 30.0 mask 26 

[AR1_DHCP_SERVER=-ip-pool1-Pool AR2 VLAN30]gateway-list 172. 16. 30. 1 

[AR1L DHCP SERVER-ip-pool-Pool AR2 VLAN30]lease day 30 

LAR1 DHCP_SERVER~ip-pool-Pool AR2 _VLAN30jquit 

[AR1 DHCP SERVER]ip pool Pool AR2 VLAN40 

Info: It' s successful to create an IP address pool. 

[AR1 DHCP_SERVER-ip-pool-~Pool_AR2 VLAN40]network 172. 16. 40.0 mask 26 

[AR1 DHCP_SERVER-ip-pool-Pool AR2 VLAN40]gateway—list 172. 16. 40.1 

[AR1 DHCP_ SERVER-ip-pool-Pool AR2 VLAN40|]lease day 30 

[AR1_DHCP_SERVER-ip=pool-Pool_AR2 VLAN40]quit 

[AR1 DHCP SERVER|interface gigabitethernet, 0/0/2 

[AR1 DHCP_ SERVER-GigabitEthernet0/0/2]ip address 10.0.12.1 30 

[AR1 DHCP SERVER-GigabitEthernet0/0/2]dhcp select global 

在 例 6-8 所 示 配 置 中 , 管理 员 在 AR1 上 新 建 了 两 个 地 址 池 :Pool_AR2 VEAN30 和 Pool_ 
AR2_VLAN40, 其 中 分 别 指定 了 两 个 IP 子 网 172. 16. 30. 0/26 和 172. 16. 40. 0/26、 各 自 的 网 
关 ， 以 及 把 租 期 修改 为 30 天 。 在 AR1 连接 AR2 的 接口 60070/2 上 ， 管 理 员 使 用 接口 视图 命 
令 dhcp select global 局 用 了 了 DHCP 服务 器 功能 ， 并 且 指 定 这 个 接口 使 用 全 局 地 址 池 。 

接着 我 们 来 看 看 AR2 上 都 需要 进行 什么 配置 ， 管 理 员 要 把 AR2 配置 为 DHCP 中 继 代 
理 ， 需 要 执行 以 下 步骤 。 

步骤 1 在 路 由 器 上 启用 DHCP 功能 。 这 一 步 与 配置 DHCP 服务 器 相同 ， 要 想 让 路 由 

器 提供 DHCP 服务 ， 都 需要 首先 在 全 局 启用 DHCP 功能 。 

dhcp enable: 使 用 系统 视图 命令 为 路 由 器 启用 DHEP 功能 

步骤 2 在 路 由 器 接口 上 启用 DHCP 中 继 代 理 功 外 并 指定 0 DHCP 服务 咒 的 IP 地 址 。 

dhcp select relay: 使 用 次 口 视图 命令 为 指定 路 由 器 接口 启用 DHCP 功能 ， 并 指定 
这 个 接口 启用 中 继 代 理 功 能 ; 

dhcp relay server-ip ip-address: 使 用 接口 视图 命令 指定 DHCP 服务 器 的 IP 地 址 。 

例 6-9 中 展示 了 管理 员 在 AR2_DHCP_RELAY 上 执行 的 DHCP 中 继 代理 配置 。 

例 6-9 在 AR2 DHCP_RELAY 上 配置 DHCP 中 继 代 理 


[AR2 DHCP RELAY|dhcp enable 
[AR2 DHCP RELAY] interface gigabitethernet 0/0/1 
[AR2 DHCP RELAY-GigabitEthernet0/0/1]ip address 172. 16. 30.1 26 
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[AR2 DHCP RELAY-GigabitEthernet0/0/1|dhep select relay 

LAR2 DHCP RELAY-GigabitEthernet0/0/l1]dhecp relay server-ip 10.0.12.1 
[AR2 DHCP RELAY-GigabitEthernet0/0/1]quit 

[AR2 DHCP RELAY]interface gigabitethernet 0/0/0 ; 

[AR2 DHCP RELAY-GigabitEthernet0/0/0]ip address 172. 16. 40. 1 26 

[AR2 DHCP RELAY=GigabitEthernet0/0/0]dhep select relay 

-FAR2 DHCP RELAY-GigabitEthernet0/0/0l]dhecp relay server-ip 10.0.12.1 
[AR2 DHCP RELAY-GigabitEthernet0/0/0]quit 

[AR2 DHCP RELAY|interface gigabitethernet 0/0/2 | 

[AR2 DHCP RELAY-GigabitEthernet0/0/2]ip address 10.0. 人 这。 30 


按照 步骤 ， 管 理 员 在 AR2 -| 6-9 所 示 配 置 了 这 些 命令 。 以 连接 VLAN 30 的 接口 
G0/0/1 为 例 ， 在 这 个 接口 上 管 $ 理 员 使 用 命 今 dhcp select relay 启用 了 DHCP 功能 和 中 
继 代 理 功 能 ， 之 后 使 用 命令 dhcp relay server-ip 10. 0. 12. 1 指定 了 DHCP 服务 器 的 IP 
地 址 。 在 我 们 这 个 案例 拓扑 中 , DHCP 服务 器 是 AR1, 并 且 用 来 癌 AR2 所 连 VLAN 提供 DHCP 
服务 的 接口 是 AR1 的 60/0/2(IP 地 址 为 10. 0. 12. 1) ， 因 此 对 于 AR2 来 说 ，DHCP 服务 器 
的 IP 地 址 就 是 AR1 接口 60/0/2 的 IP 地 址 10. 0.j12. 1。 如 果 网 络 中 使 用 单独 一 台 服 务 器 
来 提供 DHCP 功能 , 那么 管理 员 就 需要 在 这 里 指定 那 台 DHCP 服务 器 的 IP 地 址 , 并 且 要 在 
AR2 的 路 由 中 ， 确 保 AR2 能 够 访问 这 人 台 DHCP 路 由 器 。 对 于 本 例 来 说 ，AR2 直接 与 DHCP 
服务 器 相连 ， 因 此 无 需 配 置 任何 路 由 。 这 里 暂 不 考虑 VLAN 30 和 VLAN 40 中 的 终端 设备 
需要 访问 VLANNO 和 Internet 的 情况 ， 只 考虑 与 DHCP 服务 相关 的 路 由 问题 。 

图 6-14 展示 了 在 AR2 接口 60/0/2 上 的 抓 包 截图 ， 并 解析 了 一 个 AR2 为 PC30 转发 
的 DHCP 发 现 消息 。 





园 Capturing from Standard input - Wireshark 一 口 
File Edit View Go Capture Analyze Statistics Telephony fools Help 
各 基 和 人/ \ 关 | 位 
Filter: ” Expression... Clear Apply 
Time Source Destination Protoc Info 2 
I A one ago se ee 








Bootstrap Protocol 
Message type: Boot Request (0) 
Hardware type: Etherret 
Hardware address length: 6 
一 Hops: 1 
Transaction ID: 0x0000204TI 
Seconds elapsed: 


#5Bootp flags: Ox0000 (Untcast) 
Client IEIP address: 0.0.0.0 (0.0.0.0) 
Your (client) IP address: 0.0.0.0 (0.0.0.0) 
Next server IP address: 0.0.0.0 (6.0.9 
1 0.1 C172. 16. a v 


Relay 的 3 IP address: E72. 


0040 00 00 mE s4 so 9 98 11 5b 3 00 00 00 00 .WT .0[.:... ~ 
0050 00 0 0 00U 00 00 00 00 00 00 00 00 00 00  -、-…,-- ...-. ， 

0060 00 00 00 00 00 00 00 00 0000000000000000 -9 

0070 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 0 v 


© ay gantip dre (Gootpil. packets: 43 Bisgjwved: 43 Marked: Br* | ofile: Defaut 


图 6-14 ”AR2 接口 60/07/2 的 抓 包 截图 (DHCP 发 现 消 县 ) 
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之 所 以 我 们 会 知道 图 6-14 中 解析 的 数据 包 是 AR2 为 PC30 转发 的 DHCP 发 现 请 求 ， 
是 因为 DHCP 中 继 代 理 在 执行 代理 功能 时 ， 不 仅 会 把 自己 接收 到 的 广播 DHCP 包 转 换 为 单 
播 DHCP 包 , 还 会 把 执行 代理 功能 的 接口 IP 地 址 作为 这 个 单 播 IP 包 的 源 地 址 , 同时 我 们 
从 图 中 解析 的 Relay agent IP address〔 中 继 代 理 IP 地 址 ) 172. 16. 30. 1 也 可 以 确定 这 
是 来 自 VLAN 30 的 代理 请 求 。 

在 使 用 DHCP 中 继 代 理 的 环境 中 ，Relay agent IP address 这 个 字段 对 于 DHCP 服务 
器 也 同样 重要 ，DHCP 服务 器 会 根据 这 个 IP 地 址 所 属 的 IP 子 网 ,确认 使 用 本 地 配置 的 哪 
个 IP 地 址 池 。 在 本 例 中 ， 管 理 员 在 AR1 上 先后 配置 了 三 个 IP 地 址 池 : Pool AR1、 
Pool AR2_VLAN30 和 Pool_AR2_VLAN40。 但 在 接口 上 启用 DHCP 服务 的 命令 都 是 相同 的 
(dhcp select global) ， 并 没有 在 接口 上 指明 需要 使 用 哪个 具体 的 地 址 池 ， 而 且 AR1 
接口 60/0/2 实际 上 需要 从 两 个 IP 地 址 池 中 分 配 IP 地 址 。 此 时 , AR1 会 根据 Relay agent IP 
address 字段 来 确定 目 己 需要 使 用 的 IP 地 址 池 ， 并 分 配 可 用 的 IP 地 址 。 

从 图 6-14 所 示 截 图 中 我 们 还 可 以 看 出 , 这 里 只 有 AR2 作为 DHCP 中 继 代理 发 送 的 DHCP 
发 现 (DISCOVER) 消息 ， 却 没有 AR1 作为 DHCP 服务 器 返回 的 提供 〈OFFER) 消息 。 前 文中 
我 们 提 到 过 ，DHCP 中 继 代理 上 需要 有 去 往 DHCP 服务 器 的 路 由 ， 再 进一步 说 ，DHCP 服务 器 
上 也 应 该 有 去 往 DHCP 中 继 代 理 的 路 由 。 在 我 们 这 个 案例 环境 中 ， 提 供 DHCP 代理 功能 的 是 
AR2 的 接口 .60/0/1 和 G0/0/0， 这 两 个 接口 对 于 DHCP 服务 器 (AR1 ) 来 说 是 非 直 连 的 ， 因 
此 目前 AR1 不 知道 该 如 何 回复 172. 16. 30. 1 和 172. 16. 40. 1 发 来 的 DHCP 请 求 消息 。 管 理 
员 在 例 6-10 中 为 AR1 添加 了 两 条 静态 路 由 ， 使 AR1 上 拥有 去 往 DHCP 中 继 代 理 的 路 由 。 

例 6-10 在 AR1_DHCP_SERVER 上 添加 去 往 DHCP 中 继 代 理 的 路 由 

[AR1 DHCP_SERVER]ip route-static 142. 16. 30.0 Jb0..255. 205a192. 10.0,. 122 

[AR1_DHCP_ SERVER]ip route-static 172. 16.40.0 255. 255. 255. 192 10. 0. 12.2 

管理 员 再 次 在 AR2 接口 60/0/2 上 进行 抓 包 ， 如 图 6-15 所 示 ， 这 次 看 到 了 DHCP 服 
务 右 (AR1) 返回 的 消息 ， 以 及 后 续 的 DHCP 信息 交 及 。 

图 6-15 中 解析 的 数据 包 是 从 DHCP 服务 器 (10. 0:12. 1 ) 发 往 172. 16. 30. 1 (VLAN 30 
的 DHCP 中 继 代 理 ) 的 ， 我 们 可 以 从 Your (client) 上 address〔 你 的 IP 地 址 ) 部 分 看 
到 DHCP 服务 器 提 供 的 IP 地 址 为 172. 16. 30. 62, 这 是 它 为 PC30 提供 的 IP 地 址 。 例 6-11 
中 验证 了 DHCP 服务 器 分 别 为 B PC30 和 PC40 分 配 的 IP 地 址 。 

例 6-11 PC30 和 PC40 获得 的 IP 地 址 


PC30>1ipconfig 

Link local IPv6 address.....: es : fe80::5689:98ff:fell:5bc3 
TRxb address. a Uh ve 

Pw. .gheemy on os a 六 

i A 172 16..30..02 
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SET 055525592 

tn 7 be wee :72 16. Bs:] 

Rheaal OddFaBe ,ue ns ands , 594-89-98-11-5B=(3 

RS ei de hl i 

PC40>1pconfig 

Tink local IPv6 address........... : fe80::5689:98ff:fef2:14a 

Pro oldiho@Be sa Dy 机 Wu /a8 

LPvOnraat one wa a ss i er . 

IPv4 address...............; eg 172, 16, 40. 62 -i 

ee i : 255. 255. 255. 192 . 

人 :i : 172. 16. 40.1 
Physical address............ ;54-89-98-F2-01-4A 

I VW a bd fe oe es SE 

加 Capturing from Standard input - Wireshark 
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Filter: ression... Clear Apply 


fe 


No. Time Source Destination Protocol in 和 六 


mm 





= Bootstrap Protocol] ~ 
Message type: Boot Reply (2) 
Hardware type: Ethernet 
Hardware address length: 6 
Hops: 0 
Transaction ID; Ox000020a3 
seconds elapsed: 0 
5 Bootp flags: 0x0600 (Unicast) 
Client IP address: 0.0.0.0 (0.0.0.0) 
Your (tclient) IP address: 172.16.30.62 (172.16.30.62) 
Next server IP address: 0.0.0.0 (0.0.0.0) 


Relay agent IP address: 172.16.30.1 (172.16.30.1) v 
1 ) oo 有 a Tv > _ { 3 
D0030 20 a3 00 00 00 00 00 00 00 00 | OO pr EE: 入 
0040 00 00 ac 10 le 01 54 89 98 11 Cc OF ON TE 
0050 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .i -es 
0060 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 .i + ~ 
© Your {client) lp address (bootpii.. , Packets: 43 Dispiayed: 43 Marked: 0 | wofile: Default 


图 6-15 AR2 接口 60/0/2 的 抓 包 截图 (DHCP 消息 交互 过 程 ) 


例 6-11 中 验证 了 PC30 和 PC40 分 别 获得 了 IP 子 网 中 的 IP 地 址 。 至 此 DHCP 服务 器 
”和 DHCP 中 继 代理 的 配置 就 展示 完毕 了 ,读者 可 以 根据 目 己 网 络 中 的 需求 来 选择 所 使 用 的 
DHCP 配置 方式 。 


63 7 本章 总 结 
本 章 重 点 介绍 了 动态 主机 配置 协议 (DHCP) 的 原理 和 配置 。DHCP 协议 使 用 服务 器 一 一 
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客户 端 模型 , DHCP 客户 端 负责 向 DHCP 服务 器 请 求 IP 地 址 信息 , DHCP 服务 器 负责 为 DHCP 
客户 端 动态 地 分 配 IP 地 址 及 其 相关 信息 。 

当 一 台 使 用 DHCP 协议 来 获取 IP 地 址 的 主机 刚 连 入 网 络 时 ， 它 既 不 知道 自己 的 IP 
地 址 ， 也 不 知道 应 该 回 谁 请 求 IP 地 址 。 它 会 发 送 目 的 IP 地 址 为 255. 255. 255. 255 的 广 
播 DHCP 发 现 (DISCOVER) 消息 ， 在 本 地 子 网 中 寻找 DHCP 服务 器 。 当 本 地 有 DHCP 服务 器 
时 ， 服 务 器 收 到 这 个 发 现 消息 后 会 在 有 空闲 IP 地址 能 够 分 配给 主机 时 ， 在 DHCP 提供 
COFFER) 消息 中 把 这 个 IP 地 址 发 送 给 主机 。 主 机 收 到 DHCP 提供 消息 并 决定 使 用 服务 器 
提供 的 IP 地 址 后 ， 会 问 服 务 器 发 送 DHCP 请求 REQUEST) 消息 ， 来 申请 使 用 这 个 IP 地 
址 。 服 务 器 在 确认 这 个 IP 地 址 仍然 可 用 后 ， 会 返回 DHCP 确认 (ACK) 消息 。 从 这 之 后 ， 
主机 就 可 以 使 用 这 个 IP 地 址 了 。 

第 6 章 详 细 地 介绍 了 上 述 通 信 过 程 ， 之 后 介绍 了 DHCP 的 封装 格式 和 其 中 重要 字段 
的 含义 。 在 理论 部 分 的 最 后 ,我 们 介绍 了 DHCP 欺骗 攻击 的 形式 ,以 及 它 能 够 对 网 络 造成 
的 伤害 。 

在 学 习 了 与 DHCP 相关 的 理论 知识 后 ， 我 们 介绍 了 在 华为 设备 上 如 何 配置 DHCP 服务 
器 和 DHCP 中 继 代理 。DHCP 服务 器 的 配置 方式 有 两 种 : 基于 接口 地 址 池 和 基于 全 局 地 址 
池 的 配置 。 在 使 用 基于 接口 地 址 池 时 ，DHCP 服务 器 与 DHCP 客户 端 必须 属于 相同 的 IP 子 
网 。 当 DHCP 服务 器 与 DHCP 客户 端 属于 不 同 的 IP 子 网 时 , 管理 员 必 须 使 用 基于 全 局 地 址 
池 的 方式 来 配置 DHCP 服务 器 ， 并 且 在 DHCP 客户 端 所 属 IP 子 网 中 部 署 DHCP 中 继 代理 。 


6.4 | 练习 题 

一 、 选 择 题 
. 下列 有 关 DHCP 的 说 法 中 ， 错 误 的 是 ? ( 轴 
.DHCP 的 全 称 是 动态 主机 配置 协议 hs 
.DHCP 服务 器 功能 可 以 由 专用 服务 器 提供 ， 也 可 二 由 路 由 器 提供 
.每 个 IP 子 网 中 都 需要 部 普 一 台 DHCP 服务 需 
.DHCP 中 继 代 理 可 以 解决 DHCP 客户 端 与 DHCP 服务 器 不 在 同一 个 IP 子 网 的 问题 

2. 在 DHCP 消息 的 封装 中 ， 确 保 DHCP 客户 端 能 够 知道 某 个 DHCP 消息 是 发 送 给 自己 
的 ， 是 以 下 哪个 字段 ? ( ) 

A. 硬件 地 址 长 度 B. 便 件 地 址 G 这 豆子 D. 标志 

3. 当 DHCP 服务 器 与 DHCP 客户 端 不 在 同一 个 IP 子 网 时 ， 在 DHCP 消息 的 封装 中 ， 
确保 DHCP 服务 器 能 够 知道 应 该 为 这 个 DHCP 客户 端 分 配 哪 个 IP 子 网 地 址 的 , 是 以 下 哪个 
字段 ? ( ) 


二 OO 二 


二 
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.客户 问 前 IP 地 址 B. 你 的 IP 地 址 

.服务 器 IP 地 址 D. 代理 设备 IP 地 址 

. DHCP 服务 器 都 能 够 向 DHCP 客户 端 提供 哪些 信息 ? (多 选 )( ) 

. IP 地 址 / 子 网 掩 人 码 B. 网 关 地 址 

， IP 地 址 租 期 D. DNS 地 址 

. 下 列 有 关 dhcp enable 命令 的 说 法 中 ， 错 误 的 是 ? ( ) 

， 这 是 系统 视图 的 命令 ， 用 来 在 全 局 启用 DHCP 功能 

.这 是 接口 视图 的 命令 ， 用 来 己 用 接口 的 DHCP 功能 。 

.作为 DHCP 服务 器 使 用 的 路 由 器 上 需要 使 用 这 条 命令 

.作为 DHCP 中 继 代理 使 用 的 路 由 器 上 需要 使 用 这 条 命令 

. 下列 有 关 IP 地 址 池 的 说 法 中 ， 正 确 的 是 ? 〈 多 选 )( “) 

一 个 地 址 池 中 只 能 配置 一 个 IP 子 网 

.地 址 池 中 可 以 配置 网 关 地 址 

. 地址 池 中 可 以 配置 排除 的 IP 地 址 ， 也 可 以 静态 绑 定 IP 地 址 和 MAC 地 址 
.一 个 地 址 池 中 可 以 配置 最 多 8 个 IP 子 

. 在 作为 DHCP 服务 器 使 用 的 路 由 器 上 ， 在 接口 启用 DHCP 功能 并 使 用 全 局 地 址 池 
的 命令 是 针 么 ? ( ) 


= 5 OO DW > > > 


A. dhcp enable B. dhcp select interface 
C. dhcp select global D. dhcp select relay 
二 、 判 断 题 


1. 在 DHCP 客户 端 向 DHCP 服务 器 发 送 的 DHCP 发 现 (DISCOVERY) 消息 中 ， 客 户 端 
会 使 用 服务 器 提供 的 IP 地 址 作为 自己 的 源 IP 地 址 。 

2. 在 配置 DHCP 服务 占 时 ， 如 果 管 理 员 通过 命令 dhcp select interface 配置 了 接 
口 地 址 池 ， 无 需 使 用 任何 命令 来 指定 网 关 地 址 。 

3. 在 不 使 用 DHCP 中 继 代理 的 环境 中 ， 在 DHCP 服务 器 《路 由 器 ) 的 接口 上 使 用 全 
局 地 址 池 时 , DHCP 服务 器 会 根据 接收 DHCP 请 求 消息 的 本 地 接口 IP 地 址 , 选择 与 这 个 IP 
地 址 相同 IP 子 网 的 地 址 池 。 
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假如 每 一 个 IPv4 地 址 都 可 以 当 作 一 个 单 播 地 址 分 配给 设备 使 用 ， 那 么 长 度 为 32 位 
的 IPv4 可 以 提供 不 到 43 亿 《〈2 ) 个 地 址 分 配给 联网 设备 。43 亿 这 个 数字 很 难 让 人 产生 
足够 深刻 的 印象 ， 那 么 将 它 与 下 面 这 个 数字 对 比 应 该 更 能 说 明 问 题 : 专家 估计 ， 物 联网 
时 代 的 联网 物 数量 会 在 2020 年 超过 500 亿 个 。 \ 

超过 500 亿 与 不 到 43 亿 ， 这 种 数量 级 上 的 差距 显然 不 是 技术 人 员 在 局 域 网 中 复 
用 RFC 1918 地 址 就 能 弥合 的 。CIDR 只 能 防止 IPv4 地 址 遭 到 过 度 浪 费 ， 它 无 法 逆转 
IPv4 地 址 供不应求 的 趋势 ， 更 无 法 改变 IPv4 地 址 已 经 耗竭 的 事实 。 要 想 将 足够 多 
的 设备 连接 到 网 络 当 中 ， 定义 一 个 新 的 互联 网 协议 (Internet Protoco1，IP) 热 在 
必 行 。 

当然 ，43 亿 对 比 500 亿 是 一 种 取 巧 的 说 法 ， 实 际 上 ， 早 在 物 联网 成 为 网 络 发 展 趋势 
之 前 的 20 世纪 90 年 代 , IPv4 地 址 空间 提供 的 地 址 资源 不 足 就 已 经 引起 了 IETF 的 重视 ， 
标准 化 一 种 能 够 提供 远 比 IPv4 更 为 广阔 的 地 址 空间 的 执 议 也 早 在 20 世纪 90 年 代 就 被 提 
上 了 议事 日 程 。 在 本 章 和 第 8 章 中 我 们 要 进行 着 重 介绍 的 IPv6 协议 , 就 是 为 了 达到 这 个 
目的 而 由 IETF 定义 出 来 的 新 型 .IP 协议 。 

本 章 7.1 节 首 先 介绍 IPv6 协议 的 由 来 ， 然 后 对 比 IPv4 的 封装 格式 介绍 IPv6 头 部 
封装 格式 中 各 个 字段 的 作用 ; 接 下 来 对 IPv6 地 址 的 表示 方法 进行 说 明 。 

IPv6 地 址 的 分 类 与 IPv4 地 址 的 分 类 方式 不 尽 相 同 。 本章 会 在 7.2 节 中 对 IPv6 的 单 
播 、 任 意 播 和 组 播 地 址 的 形式 、 作 用 分 别 进行 详细 的 介绍 。 

设备 之 间 通 过 IPv6 地 址 实现 通信 的 过 程 与 它们 使 用 IPv4 地 址 建立 通信 的 过 程 
存在 明显 的 区 别 ， 本 章 的 7. 3 节 会 介绍 用 来 在 IPv6 网 络 环境 中 帮助 设备 建立 通信 
的 机 制 。 
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CG 。 了 解 IPv6 的 由 来 ; 
Ci :3 。 掌握 IPv6 的 数据 包 封装 格式 ; 


e 掌握 IPv6 的 编 址 方式 ; 

e 理解 IPv6 的 地 址 分 类 方式 ; 

e 理解 NDP 协议 的 原理 ; 

e 掌握 无 状态 地 址 自动 配置 的 方法 。 
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7.1 IPv6 协 议 


从 IETF 开始 就 下 一 代 IP 协议 的 设计 方案 征询 意见 ， 到 IPv6 出 现在 RFC 文档 中 ， 
这 个 过 程 历时 整整 4 年 , 就 连 下 一 代 IP 协议 的 抽 址 长 度 都 是 - 改 再 改 。 这 一 切 都 是 因为 
IP 协议 是 互联 网 的 骨干 协议 ， 只 有 把 尽 可 能 多 的 因素 考虑 在 内 ， 下 一 代 IP 协议 才能 
好 地 满足 人 们 的 通信 需求 ， 这 个 协议 的 生命 力 才 会 更 加 旺盛 和 持久 。 所 以 ，IETF 在 定义 
下 一 代 I 了 P 协议 时 采取 谨慎 的 态度 也 束 顺 理 成 革 了 。 

尽管 一 些 读者 可 能 在 阅读 本 章 之 前 就 对 IPv6 协议 有 所 了 解 , 但 我 们 还 是 希望 读者 
现在 可 以 把 自己 想象 成 被 IETF 征集 意见 的 对 象 ， 设 想 一 下 自己 会 如 何 对 IPv4 协议 提 
出 修改 意见 ， 自 己 会 希望 下 一 代 IP 地 址 的 长 度 达到 多 少 位 等 。 这 种 换 位 思考 的 过 程 会 
有 助 于 读者 理解 IETF 对 IPv6 所 作 的 诸多 改进 。 当 然 ， 这 些 问 题 的 答案 在 7. 1 节 中 会 
被 一 一 揭 开 。 


7.1.1 1Pv4 的 缺陷 与 IPv6 的 提出 


IETF 最 早 意识 到 需要 定义 一 个 新 版 本 的 IP 地 址 来 取代 IPv4 地 址 是 在 20 世纪 90 年 
代 初 期 。 在 网 络 刚刚 开始 腾飞 的 年 代 , IETF 看 到 了 网 络 应 用 的 增长 潜力 ,同时 意识 到 IPv4 
是 地 址 长 度 只 有 32 位 的 协议 ， 地 址 空间 的 耗 尽 只 是 时 间 早 晚 问题 。 因 此 ， 标 准 化 一 个 新 
版 IP 协议 势 在 必 行 ， 而 下 一 代 IP (IP next generation，IPng) 必须 拥有 几乎 不 可 能 
”耗竭 的 地 址 空间 。 既 然 要 定义 新 型 IP 协议 ， 那 么 除了 扩大 协议 的 地 址 空间 之 外 ，IETF 
还 希望 这 个 协议 能 够 将 IPv4 的 其 他 璀 病 也 一 并 革除 。 毕 竟 ，IPv4 的 很 多 次 端 在 过 去 的 
应 用 当中 已 经 体现 了 出 来 。7. 1. 1 节 会 提出 IPv4 在 当时 最 为 人 所 诉 病 的 问题 ， 由 此 引出 
IPv6 的 改进 。 本 书 会 在 后 文中 一 一 对 这 些 改 进 的 落实 方法 进行 说 明 。 

首先 ， 定 义 新 型 IP 协议 的 初衷 是 为 了 扩展 地 址 空间 ， 因 此 新 型 IP 协议 的 地 址 长 度 
应 该 远 远 长 于 IPv4 地 址 的 32 位 。1992 年 初 ，IETF 收 到 了 多 项 针对 下 一 代 IP 协议 编 址 
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方式 的 提议 。 后 来 ，IETF 经 过 不 断 研 讨 ， 最 终 选 出 了 两 项 最 佳 提 案 。IETF 对 这 两 个 提案 
进行 了 合并 , 并 且 把 合并 后 提议 建议 的 64 位 地 址 长 度 再 增加 一 倍 ,， 让 它 的 地 址 长 度 达 到 
128 位 , 同时 将 这 个 提议 的 版 本 号 定义 为 IP 协议 第 6 版 , 我 们 在 这 两 草 中 要 介绍 的 IPv6 
协议 由 此 诞生 。128 位 长 度 的 地 址 可 以 提供 2 个 地 址 , 这 个 数量 大 到 足以 给 地 球 表面 的 
每 平方 米 提供 7X10 个 地 址 。 按 这 个 数量 级 判断 ， 即 使 其 中 一 部 分 地 址 遭 到 浪费 ， 即 使 
联网 物 的 种 类 再 进行 扩展 ， 这 个 地 址 空间 在 可 以 预见 的 未 来 都 很 难 耗 尽 ， 这 也 就 达到 了 
新 型 IP 协议 的 设计 目的 。 

其 次 ，IPv4 缺乏 自动 配置 机 制 ， 要 想 让 IPv4 主机 能 够 接 入 到 网 络 当 中 ， 少 不 了 需 
要 具备 一 定 网 络 技术 的 专业 人 士 对 实现 通信 所 需 的 参数 进行 手动 配置 .在 当时 看 来 , IPv4 
主机 在 网 络 中 无 法 做 到 即 插 即 用 , 这 意味 着 IPv4 很 难 在 大 范围 得 到 使 用 。 通 过 第 七 章 的 
学 习 ， 读 者 应 该 已 经 知道 ， 如 果 IPv4 主机 所 在 的 子 网 中 拥有 能 够 提供 动态 IPv4 地 址 配 
置 服务 的 服务 器 或 者 中 继 代 理 ， 那 么 IPv4 主机 也 可 以 实现 即 插 即 用 。 下 一 代 的 IP 协议 
需要 更 进一步 ， 即 主机 所 在 子 网 中 不 需要 任何 提供 地 址 配置 服务 的 BOOTP 服务 器 就 可 
以 自行 完成 地 址 配置 ， 做 到 真正 意义 上 的 即 插 即 用 。 这 种 不 需要 服务 器 主机 即 可 自动 配 
置地 址 的 机 制 叫 作 无 状态 地 址 自动 配置 机 制 。 

再 次 ，IPv4 头 部 定义 的 大 量 字段 给 网 络 的 中 间 设 备 带 来 了 较 大 的 处 理 负担 。 要 想 减 
少 网 络 中 设备 的 处 理 延迟 , 新 型 IP 协议 的 头 部 字段 必须 简化 和 优化 。 这 拒 所 说 的 简化 是 
指 把 那些 需要 调用 大 量 CPU 资源 执行 处 理 的 字段 进行 删 减 , 而 优化 则 是 指 应 该 对 IP 头 部 
的 结构 进行 调整 ， 让 中 间 设 备 在 处 理 IP 数据 包 时 能 够 用 最 快速 度 查 找到 自己 需要 的 信 
息 。 关 于 IPv6 头 部 的 封装 格式 ， 以 及 IPv6 相对 于 IPv4 对 头 部 封装 字段 所 作 的 优化 , 我 
们 会 在 7. 1. 2 节 中 进行 具体 介绍 。 

另外 ，IPv4 协议 缺乏 安全 机 制 ，IETF 认为 应 该 通过 定义 新 的 IP 协议 ， 在 网 络 层 加 
入 身份 认证 和 加 密 等 安全 机 制 ， 这 种 为 IPv6 定义 的 安全 标准 就 是 IPSec。 有 意思 的 是 ， 
IPSec 反而 是 因为 后 来 被 引入 到 了 IPv4 中 才 得 到 了 犬 范围 的 部 署 。 关 于 IPSec 技术 , 我 
们 会 在 本 书 的 第 9 章 中 进行 介绍 。 

还 有 ， 在 研讨 IPv4 协议 缺陷 的 年 代 ， 流 媒体 流量 刚刚 开始 在 数据 通信 和 网络 的 流量 
中 占据 一 席 之 地 。IETF 确信 逢 可 预见 的 未 来 ， 对 网 络 延 迟 十 分 敏感 的 实时 流量 将 会 在 网 
络 承载 的 数据 中 占据 越 来 越 大 的 比重 。 为 了 让 中 间 设 备 有 能 力 针 对 这 些 实时 流量 提供 不 
同 于 普通 流量 的 优先 服务 ，IPv6 应 该 更 好 地 为 服务 质量 (QoS) 技术 提供 文 持 。 

上 面 这 些 IPv4 展现 出 来 的 问题 ，IETF 在 定义 IPv6 标准 时 都 进行 了 完善 。 当 然 ，IPv6 
提供 的 完善 方式 势必 需要 通过 定义 IPv6 数据 包头 部 的 封装 字段 来 得 到 落实 。 在 7.1.2 
节 中 , 我 们 会 对 比 IPv4 的 头 部 封装 字段 , 对 IPv6 针对 IPv4 头 部 封装 所 作 的 改善 进行 说 明 。 


”这 里 所 说 的 BOOTP 服务 器 也 包括 能 提供 地 址 信息 的 DHCP 服务 器 。 
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7.1.2 1IPv6 的 数据 包 封 装 


关于 IPv4 的 头 部 封 阔 格式 ， 本 系列 教材 在 《网 络 基础 》 的 第 5 章 进 行 过 详细 介绍 。 
已 经 不 记得 IPv4 头 部 封装 中 的 字段 以 及 某 些 字段 作用 的 读者 应 该 复习 《网 络 基础 》 教材 
第 5 章 中 的 内 容 。 在 7.1.2 节 中 ， 我 们 会 对 比 IPv4 头 部 封装 的 字段 ， 来 介绍 IPv6 头 部 
中 的 字段 。 图 7-1 为 IPv4 和 IPv6 头 部 封装 格式 的 对 比 。 


IPv6 头 部 


源 IP 地 址 


目的 趾 地 址 





\ IPv4 头 部 
4 比特 4 比特 8 比特 16 比特 
Ee nse 


Ui La 


图 7-1 IPv4 和 IPv6 头 部 封装 字段 对 比 〈 不 售 数 据 部 分 ) 

















通过 对 比 IPv4 和 IPv6 头 部 封装 的 字段 ， 读 者 应 该 已 经 可 以 感受 到 IPv6 简化 和 优 
化 头 部 封装 字段 的 效果 。 如 果 不 考 虑 可 变 长 度 字 段 ， 虽 然 IPv6 头 部 〈40Byte) 实际 比 
ITPv4 头 部 (20Byte) 大 了 1 倍 ， 但 IPv6 头 部 封装 中 的 字段 数量 远 远 小 于 IPv4 头 部 字段 
的 数量 ， 减 少 的 字段 数量 为 IPv6 庞大 的 地 址 让 出 了 空间 。 对 比 这 两 版 IP 协议 对 头 部 封 
装 的 定义 方式 ， 即 使 不 是 数字 设备 也 可 以 直观 地 感受 到 它们 的 差距 。 

为 了 说 清楚 这 种 区 别 ， 下 面 我 们 首先 说 明 一 下 在 IPv4 头 部 中 进行 了 定义 ， 但 是 没 
有 在 IPv6 头 部 中 定义 的 字段 ， 以 及 它们 提供 的 功能 如 何 实现 。 

。 标识、 标记 、 分 片 偏 移 : 相 比 于 IPv4，IPv6 的 数据 包头 部 格式 中 再 也 看 不 到 任 
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何 与 数据 包 分 片 (Fragmentation) 有 关 的 字段 了 。 实 际 上 ， 分 片 与 重组 是 相当 
消耗 转发 设备 资源 的 处 理 行为 。 为 了 节省 转发 设备 的 处 理 资源 ，IPv6 环境 中 的 
路 由 器 不 再 对 数据 包 执 行 分 片 。 当 IPv6 路 由 器 接收 到 大 于 最 大 传输 单元 的 数据 
包 时 ， 它 会 直接 丢弃 这 个 数据 包 ， 然 后 把 因 过 大 而 丢弃 数据 包 的 情况 通告 给 数 
据 包 的 始 发 设备 。 为 了 避免 因为 数据 包 过 大 而 被 路 由 器 丢 包 ，IPv6 环境 中 的 终 
端 设 备 必 须 承 担 起 控制 数据 包 大 小 的 工作 ， 它 们 会 通过 路 径 MTU 发 现 机 制 来 判 
断 可 以 发 送 的 最 大 数据 包 长 度 ， 然 后 由 上 层 协 议 来 限制 数据 的 规模 。 如 果 上 层 
协议 无 法 限制 数据 大 小 ，IPv6 还 定义 了 一 个 扩展 头 部 ， 扩 展 头 部 的 其 中 一 项 功 
能 就 是 处 理 数 据 包 分 片 事宜 。 关 于 扩展 头 部 的 更 多 内 容 , 我 们 稍 后 会 进行 介绍 。 

。 头 部 校 验 和 : 同样 为 了 提升 IPv6 网 络 的 性 能 ，IPv6 数据 包头 部 删除 了 校 验 和 
字段 。 因 为 数据 在 转发 过 程 中 是 否 发 生 了 变化 ， 接 收 方 可 以 通过 封装 在 IPv6 
头 部 内 部 的 传输 层 载荷 和 封装 在 IPv6 头 部 外 侧 的 链 路 层 头 部 和 尾部 来 执行 校 
验 。 在 网 络 层 中 增加 一 层 校 验 的 性 价 比 并 不 高 。 

除了 上 述 4 个 字段 之 外 ，IPv4 头 部 中 的 其 他 固定 字段 都 可 以 直接 沿用 ， 或 以 改良 的 

形式 在 IPv6 头 部 中 得 到 体现 。 下 面 ， 我 们 来 介绍 既 在 IPv6 头 部 也 在 IPv4 中 的 字段 : 

e。 版本: 这 个 字段 的 长 度 与 作用 均 与 IPv4 头 部 中 对 应 的 字段 相同 。 当 然 ， 对 于 
IPv6 数据 包 而 言 ， 这 个 字段 的 取 值 为 6， 即 二 进 制 数 0110。  A 

。 ”服务 类 型 : 服务 类 型 字段 的 长 度 与 作用 同样 与 IPv4 头 部 中 定义 的 字段 相同 。 在 
8 个 比特 的 字段 中 ， 前 6 个 比特 的 作用 是 标识 用 于 分 类 数据 包 的 差分 服务 。 而 
这 个 字段 最 后 2 个 比特 位 的 作用 则 用 于 显示 拥塞 指示 (Explicit Congestion 
Notification，ECN) 。 

。 负载 长 度 : 在 作用 上 , 负载 长 度 字 段 相当 于 IPv4 头 部 字段 中 的 首部 长 度 与 总 长 
度 字 段 。IPv6 头 部 取消 了 可 变 长 度 的 可 选项 字段 ， 它 的 长 度 回 定 为 40Byte， 因 
此 IPv6 协议 也 就 没有 必要 专门 用 一 个 字段 去 怀 识 头 部 的 长 度 ， 这 个 负载 长 度 字 
段 的 作用 是 标识 封装 在 这 个 IPv6 头 部 中 的 载 衔 长度。 

。 下 一 个 头 部 : 这 个 字段 的 功能 和 长 度 均 与 IPv4 头 部 中 的 协议 字段 相同 , 它 的 目 
的 是 用 一 个 数值 来 标识 头 部 中 封装 数据 使 用 的 协议 。IPv6 头 部 中 的 下 一 个 头 部 
字段 与 IPv4 头 部 中 的 协议 字段 在 标识 相同 的 协议 时 ， 使 用 的 数值 也 是 一 致 的 。 
换言之 ，IPv6 下 一 个 头 部 字段 也 是 使 用 协议 的 IP 协议 号 来 标识 IPv6 头 部 中 封 
装 的 协议 。 例 如 ， 当 IPv6 数据 包 中 封装 的 传输 层 协议 为 TCP 时 ， 这 个 字段 的 值 
即 为 6。 


注 糯 : 
关于 下 一 个 头 部 字段 特别 值得 一 提 的 是 ，IPv6 协议 定义 了 一 些 扩展 头 。 这 些 扩 展 头 
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的 目的 是 在 IPv6 提供 的 基本 服务 基础 上 ， 给 需要 诸如 认证 、 加 密 等 安全 功能 (提供 一 些 
安全 服务 是 IPv6 设计 目标 之 一 , 参见 7.1.1 节 ) , 需要 逐 跳 路 由 等 IPv4 协议 可 选项 功能 ， 
或 者 数据 包 分 片 等 功能 的 设备 来 按 需 提供 扩展 服务 。 一 般 来 说 ， 当 IPv6 设备 封装 需要 使 
用 多 个 扩展 头 的 IPv6 数据 包 时 ， 它 们 都 会 按照 固定 的 顺序 依次 封装 扩展 头 。 如 果 某 个 
IPv6 数据 包 使 用 了 一 个 或 一 些 扩展 头 ,那么 这 个 IPv6 数据 包 的 下 一 个 头 部 字段 标识 的 就 
是 这 个 IPv6 数据 包 所 使 用 的 、 与 IPv6 头 部 相 邻 的 下 一 个 扩展 头 。 每 一 个 扩展 头 的 封装 
格式 中 都 包含 一 个 下 一 个 头 部 字段 ， 用 来 标识 与 这 个 扩展 头 相 邻 的 再 下 一 个 扩展 头 。 如 
果 IPv6 数据 包 只 使 用 了 一 个 扩展 头 , 或 者 这 个 扩展 头 是 数 声 包 封 装 的 最 后 一 个 ， 即 最 贴 
近 上 层 协 议 的 扩展 头 , 那么 扩展 头 的 下 一 个 头 部 字段 就 会 标识 这 个 IPv6 数据 包 负 载 的 上 
层 协议 。 关 于 扩展 头 的 内 容 超 出 了 舞 系 列 教材 的 知识 范畴 , 我 们 在 这 里 不 作 教 述 。 然 而 ， 
我 们 在 这 里 提出 扩展 头 的 目的 是 为 了 说 明 下 一 个 头 部 字段 是 IPv6 优化 数据 包头 部 结构 
的 一 大 突破 。 这 种 层次 化 封装 、 用 下 一 个 头 部 字段 层 层 标识 的 做 法 相当 于 给 IPv6 设备 提 
供 了 一 个 在 IPv6 数据 包 中 检索 适用 信息 的 指针 。 如 果 原 本 长 度 可 变 、 可 选项 使 用 没有 固 
定 顺序 的 IPv4 头 部 是 一 本 随机 排列 单词 顺序 的 英汉 词典 , 读者 要 想 找到 茶 个 单词 的 中 文 
解释 必须 从 头 到 尾 一 字 不 落地 阅读 , 那么 把 扩展 功能 分 层 封装 在 IPv6 头 部 内 部 、 规 定 了 
扩展 头 封 装 顺 序 , 并 层 层 用 下 一 个 头 部 字段 标识 的 IPv6 头 部 就 像 是 对 这 本 字段 中 的 英文 
单词 按照 类 A 到 乙 的 字母 顺序 进行 了 排列 ， 并 且 还 给 这 部 字典 加 上 了 目录 。 


。 ” 跳 数 限制 : 这 个 字段 的 作用 和 长 度 均 与 IPv4 头 部 中 的 生存 时 间 相同 。 在 《网 络 
基础 》 第 5 章 中 , 我 们 就 提 到 IPv4 头 部 生存 时 间 字 段 本 来 的 目的 是 对 数据 包 在 
网 络 中 传输 的 时 间 进 行 倒 计时 ， 一 旦 生存 时 间 字 段 标识 的 时 间 耗 尽 ， 这 个 数据 
包 就 会 被 网 络 设备 丢弃 。 生 存 时 间 字 段 也 由 此 得 名 。 但 由 于 数据 包 在 网 络 中 传 
输 的 时 间 远 比 预计 的 要 快 很 多 ， 这 个 字段 实际 的 用 法 其 实 是 对 数据 包 在 网 络 中 
传输 的 跳 数 进行 限制 。 这样 看 来 ,到 了 IPv6 头 部 中 ， 人 们 将 具有 相同 作用 的 字 
段 命 名 为 跳 数 限制 ， 才 是 实 至 名 归 。 

。 源 / 目 的 IP 地 址 : 这 两 个 字段 的 作用 是 标记 IPv6 数据 包 的 IPv6 源 地 址 和 IPv6 
目的 地 址 。 由 于 IPv6 地 址 的 长 度 为 128 位 , 因此 IPv6 数据 包头 部 字段 中 的 源 / 
目的 IP 地 址 字段 的 长 度 也 就 是 IPv4 长 度 (32 位 ) 的 4 倍 。 关 于 IPv6 的 编 址 
方式 ， 我 们 会 在 7. 1. 3 节 中 进行 详细 介绍 。 

除了 上 述 7 个 可 以 在 IPv4 头 部 中 找到 原型 的 字段 之 外 ，IPv6 协议 还 在 头 部 增加 了 

一 个 在 IPv4 头 部 中 找 不 到 类 比 对 象 的 全 新 字段 。 下 面 我 们 对 这 个 字段 进行 说 明 。 

e。 流标 签 : 流标 签字 段 顾名思义 ， 其 作用 是 用 标签 的 形式 来 标识 不 同 的 数据 流 。 
在 7.1.1 节 中 , 我 们 曾经 提 到 定义 IPv6 协议 之 初 人们 希望 能 够 给 实时 流量 提 
供 更 有 保障 的 转发 服务 , 流标 签字 段 就 是 为 此 目的 而 定义 在 IPv6 头 部 的 。 这 也 
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就 是 说 ，IPv6 实时 流量 的 发 送 方 可 以 给 拥有 相同 源 和 目的 IPv6 地 址 ， 以 及 相 
同 源 和 目的 端口 号 的 流量 打上 相同 的 标签 ， 来 将 目 己 发 送 的 流量 标识 为 不 同 的 
数据 流 ， 让 转发 设备 能 够 凭借 流标 签 来 给 实时 流量 提供 更 优 的 服务 。 目 前 ， 在 
实际 使 用 方面 ， 用 流标 签 标识 数据 流 的 目的 更 多 是 为 了 让 一 组 数据 流 能 够 在 
IPv6 网 络 中 通过 相同 的 路 径 进 行 转发 。 

在 7.1.2 节 中 ， 我 们 对 比 IPv4 头 部 ， 对 IPv6 头 部 的 各 个 字段 进行 了 比较 详细 的 介 
绍 。7.1.2 节 在 一 定 程度 上 呼应 了 7.1.1 市 的 内 容 ， 解释 了 IPv6 的 定义 是 如 何 尽 可 能 满 
不 TETF 对 于 下 一 代 IP 协议 所 提出 的 需求 的 。 

7.1.3 节 会 对 IPv6 的 编 址 方式 进行 具体 的 介绍 。IPv6 编 址 对 于 学 习 和 告 握 第 7 章 
和 第 8 草 的 内 容 ， 以 及 配套 的 实验 操作 都 十 分 重要 ， 读 者 须 认 真 对 行 。 


7.1.3 1IPv6 地 址 的 表示 方式 


前 面 我 们 反复 介绍 过 ，IPv6 协议 将 地 址 长 度 扩 展 到 了 128 位 。 这 个 地 址 长 度 是 IPv4 
地 址 的 4 倍 ， 如 果 继 续 治 用 IPv4 地 址 的 点 分 十 进 制 表示 法 ， 那 么 每 个 IPv6 地 址 都 需要 
通过 16 个 八 位 组 来 表示 。 所 以 , 使 用 点 分 十 进 制 表示 法 表示 IPv6 会 导致 地 址 过 于 了 元 长 ， 
给 入 们 交流 和 配置 IPv6 地 址 带 来 不 便 。 为 了 能 够 更 加 高 效 地 表示 一 个 长 达 128 位 的 IPv6 
地 址 ， 人 们 设计 了 使 用 十 六 进 制 的 表示 方法 ， 将 128 位 的 IPv6 地 址 分 为 8 组， 每 组 16 
位 ， 也 就 是 每 组 4 个 十 六 进 制 数 。 , 

我 们 在 本 系列 教材 《网 络 基 础 》 第 4 章 ( 网 络 接 入 层 ) 介绍 MAC 地 址 时 ， 曾 经 提 到 
二 进 制 转换 十 六 进 制 的 方法 。 不 过 ， 考 虑 到 MAC 地 址 是 烧 录 在 适配器 上 的 硬件 标识 ， 读 
者 在 前 文 的 内 容 中 几乎 不 需要 执行 二 进 制 到 十 六 进 制 的 转换 ， 因 此 为 了 方便 读者 复习 二 
进 制 到 十 六 进 制 的 转换 方法 ， 我 们 有 必要 在 这 里 对 其 进行 简单 的 复述 。 

我 们 在 《网 络 基础 》 教 材 中 曾经 提 到 ， 因 为 2 =16， 所 以 每 一 位 十 六 进 制 都 正好 可 
以 用 4 位 二 进 制 来 表达 。 这 也 就 是 说 ， 将 二 进 制 数 转 化 成 十 六 进 制 数 十 分 简单 ， 只 需要 
记 住 每 个 4 位 二 进 制 数 所 对 应 的 十 六 进 制 数 ， 我 们 就 可 以 将 任意 长 度 的 二 进 制 数 从 右 至 
左 拆 分 成 4 位 一 组 , 青 将 每 组 的 4 位 二 进 制 数 分 别 转 换 成 对 应 的 十 六 进 制 数 即 可 。 表 7-1 
为 所 有 4 位 二 进 制 数 对 应 的 帮 六 进 制 数 ， 这 个 表 与 《网 络 基础 》 教 材 中 的 表 4-6 相同 。 

表 7-1 每 4 位 二 进 制 数 对 应 的 十 进 制 和 十 六 进 制 
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下 面 ， 我 们 来 尝试 将 二 进 制 数 10001001000111111010 转化 为 十 六 进 制 数 。 
。 首先 ,我们 将 这 个 二 进 制 数 从 右 至 左 每 4 位 拆 分 成 一 组 ， 得 到 : 1000 1001 0001 
1111 1010; 
。 下面， 我 们 查找 表 7-1， 得 到 这 4 组 二 则 制 数 对 应 的 十 六 进 制 数 为 89 1 F A。 
因此 ， 这 个 二 进 制 数 对 应 的 十 六 进 制 数 为 0x891FA。 
将 十 六 进 制 转换 为 二 进 制 数 的 方法 更 加 简单 。 我 们 只 需要 通过 答 表 将 所 有 十 六 进 
制 数 依次 转换 为 二 进 制 数 即 可 。 例 如 ， 我 们 可 以 尝试 将 十 六 进 制 数 0x8AB17 转换 为 二 
通过 查 表 可 知 ，8 A B 1 7 对 应 的 二 进 制 数 分 别 为 1000 1010 1011 0001 0111， 因 
此 0x8AB17 对 应 的 二 进 制 数 为 10001010101100010111。 

-在 上 文中 ， 我 们 复习 了 二 进 制 与 十 六 进 制 数 的 转换 方法 ， 下 面 我 们 回 到 IPv6 地 址 
的 表示 方法 上 。 前 面 我 们 刚刚 提 到 ，IPv6 采用 了 将 128 位 的 地 址 分 为 8 组 ， 每 组 4 个 十 
六 进 制 数 的 表示 方法 。 在 这 种 表示 方法 中 , 每 组 的 4 个 十 六 进 制 数 之 间 用 英文 的 冒号 (3:) 
相互 隔 开 。 因 此 ， 如 果 将 每 个 十 六 进 制 数 都 用 一 个 x 来 表示 ， 那 么 每 个 IPv6 地 址 都 可 以 
表示 为 XXXX:XXXX:XXXX:XXXX:XXXX:XXXX :XXXX:XXXX 这 样 的 形式 。 例 如 ，FC00:0000: 
0000:08AB:17DE:0000:0000:1012 就 是 一 个 IPv6 ns 

当然 ， 即 使 采用 了 这 样 的 表示 方法 ，IPv6 地 址 还 是 显得 十 分 元 长 。 为 了 使 用 方便 ， 
IPv6 定义 了 两 种 地 址 压缩 规则 。 

。 每 组 十 六 进 制 数 中 的 前 导 0 可 以 省 略 。 

根据 这 种 规则 ， 我 们 可 以 将 上 面 的 IPv6 地 址 FC00:0000:0000:08AB:17DE:0000: 
0000:1012 压缩 为 FC00:0:0:8AB:17DE:0:0:1012。 

这 种 规则 很 容易 理解 ， 因 为 我 们 在 使 用 十 进 制 时 ， 省 略 前 导 0 基本 已 经 是 一 种 习惯 了 ， 
因此 也 从 来 没有 人 会 把 点 分 十 进 制 表示 的 IPv4 地 址 172. 16. 1. 1 写作 172. 016. 001. 001。 

。 ”如 果 地 址 中 包含 连续 两 个 或 多 个 全 0 组 ， 那 么 这 些 全 0 组 可 以 压缩 为 双 冒 
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(::) 。 但 是 ， 一 个 IPv6 地 址 中 只 能 使 用 一 次 双 冒 号 

根据 这 种 规则 ， 我 们 可 以 将 上 面 简 化 后 的 IPv6 地 址 FC00:0:0:8AB:17DE:0:0:1012 
进一步 简化 为 FC00: :8AB:17DE:0:0:1012。 

这 个 规则 很 容易 执行 ， 但 读者 也 应 该 理解 IPv6 为 什么 要 定义 一 个 IPv6 地 址 中 只 能 
出 现 一 次 双 冒 号 的 限制 条 件 。IPv6 地 址 的 压缩 有 一 个 前 提 ， 那 就 是 压缩 后 的 IPv6 地 址 
不 能 存在 卜 义 。 如 果 在 一 个 IPv6 地 址 中 多 次 使 用 双 冒 号 压缩 了 连续 的 全 0 组， 那么 压 
近 后 的 IPv6 地 址 就 会 产生 歧义 。 例 如 ， 如 果 我 们 将 一 个 IPv6 地 址 压缩 为 了 FC00:: 
8AB: :17DE， 那 么 这 个 地 址 在 压缩 之 前 是 FC00:0:0:0:8AB:0:0:17DE 还 是 FC00:0:0: 
8AB:0:0:0:17DE 就 无 从 判断 了 。 

7.1.3 市 对 IPv6 地 址 的 表示 方式 和 压缩 规则 进行 了 介绍 ,同时 带 着 读者 复习 了 二 进 
制 与 十 六 进 制 相互 转换 的 方法 。7. 2 节 会 对 IPv6 地 址 的 分 类 展开 详细 的 介绍 。 


pr 


IPv4 地 址 分 为 单 播 地 址 、 组 播 地 址 和 广播 地 址 ，IPv6 地 址 也 存在 这 种 地 址 功能 层 
面 的 分 关 。 但 IPv6 的 地 址 分 类 与 IPv4 地 址 也 存在 不 同 。IPv6 没有 定义 大 播 地 址 ， 也 不 
推荐 上 友 送 广播 消息 。 如 果实 在 需要 广播 功能 , 那么 广播 功能 也 可 以 通过 组 播 地 址 来 实现 。 
此 外 ，IPv6 定义 了 一 种 新 的 消息 发 送 机 制 ， 称 为 任意 播 。 与 任意 播 对 应 的 地 址 则 称 为 任 
意 播 地 址 。 因 此 ，IPv6 定义 了 三 大 类 地 址 ， 即 单 播 地 址 、 任 意 播 地 址 和 组 播 地 址 。 

另外 ， 几 乎 所 有 IPv6 地 址 都 有 一 个 有 效 “ 范 围 ”。 根 据 这 个 范围 的 不 同 ， 单 播 、 任 
意 播 和 组 播 IPv6 地 址 还 可 以 进行 进一步 的 分 类 。7. 2 节 会 分 别 用 3 节 的 篇 幅 对 单 播 、 任 
意 播 和 组 播 这 三 类 IP 地 址 的 用 途 、 编 址 和 其 中 包含 的 子 类 进行 详细 介绍 。 首 先 ， 让 我 们 
从 最 为 常用 的 单 播 地 址 说 起 。 


7.2.1 1IPv6 单 播 地 址 i 


IPv6 插播 地 址 根据 使 用 束 围 和 功能 分 为 很 多 类 别 ， 其 中 特别 值得 介绍 的 单 播 IPv6 
地 址 类 型 包括 全 局 单 播 地 址 、 唯 一 本 地 地 址 和 链 路 本 地 地 址 等 。 接 下 来 ， 我 们 会 对 这 些 
分 关 的 编 址 方式 ， 使 用 范围 与 功能 进行 说 明 。 

1. 全 局 单 播 地 址 

顾名思义 ， 全 局 单 播 IPv6 地 址 的 有 效 范围 是 全 局 有 效 的 。 这 也 就 是 说 ， 全 局 单 播 
地 址 是 可 以 部 署 在 公共 网 络 环境 中 的 、 全 网 可 路 由 的 IPv6 地 址 。 既 然 是 全 局 IP 地 址 ， 
当然 需要 由 地 址 分 配 机 构 来 统筹 资源 分 配 ， 因 此 全 局 单 播 IPv6 地 址 是 由 IANA 分 配给 
RIR, 再 由 RIR 分 配给 各 地 互联 网 注册 机 构 和 互联 网 服务 提供 商 的 ,无 论 从 哪个 角度 来 看 ， 
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全 局 单 播 IPv6 地 址 都 可 以 与 IPv4 的 公 网 地 址 进行 类 比 。 

在 分 配 IPv4 地 址 时 ， 地 址 分 配 机 构 不 会 分 配 全 部 32 位 的 地 址 。 它 们 分 配给 地 址 申 
请 者 的 只 会 是 IPv4 地 址 的 网 络 / 子 网 位 ， 之 后 的 主机 位 则 需要 由 组 织 机 构 分 配给 各 个 适 
配 吉 接口。 在 分 配 128 位 的 IPv6 地 址 时 ， 地 址 分 配 机 构 的 做 法 当然 也 是 这 样 。 

全 局 单 播 IPv6 地 址 的 编 址 方式 如 图 7-2 所 示 。 
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图 7-2 全 局 单 播 IPv6 地 址 的 结构 
如 图 7-2 所 示 ， 在 编 址 上 , 稚 局 单 播 IPv6 地 址 的 前 3 位 固定 为 001; 从 第 4 位 到 第 
48 位 的 这 45 位 是 由 地 址 分 配 机 构 分 配给 申请 方 的 ; 在 48 位 之 后 的 16 位 地 址 供 网 络 管 
理 员 给 网 络 划 分 子 网 位 使 用 ， 相 当 于 IPv4 可 变 长 子 网 措 码 中 定义 的 子 网 位 ， 因 此 这 16 
位 称 为 子 网 ID; 剩余 的 64 位 IPv6 地 址 称 为 接口 ID, 接口 ID 的 作用 与 IPv4 中 的 主机 位 
相同 ， 即 标识 子 网 中 的 不 同 网 络 适 配器 接口 。 | 


注 粒 : 

实际 上 ， 学 习 了 之 前 内 容 的 读者 应 该 发 现 ，IP 地址 标识 本 来 就 是 不 同 的 网 络 适配器 
接口 而 不 是 主机 ， 因 此 接口 ID 也 的 确 比 主机 位 的 称谓 更 为 贴切 ， 只 是 具体 的 叫 法 直至 
IPv6 时 代 才 被 正名 。 


注 粹 : z 

图 7--2 所 示 的 全 局 单 播 IPv6 地 址 结构 在 全 局 单 播 IPv6 地 址 格式 对 应 的 RFC 文档 
(RFC 3587 ) 中 只 是 定义 全 局 单 播 IPv6 地 址 的 一 个 示例 ， 而 并 非 一 种 标准 。 但 IANA 确 
实 是 在 使 用 图 7-2 所 示 的 全 局 单 播 地 址 结构 执行 全 局 单 播 地 址 分 配 ， 而 且 这 种 地 址 格式 
也 与 向 站 点 分 配 IPv6 地 址 的 推荐 方案 (REFC 3177 ) 相 吻 合 。 如 果 严 格 参照 RFC 3587 
中 的 标准 描述 全 局 单 播 地 址 的 格式 ， 那 么 全 局 单 播 IPv6 地 址 的 格式 为 全 局 路 由 前 缀 占 n 
位 ， 子 网 ID 位 占 64-n 位 ,接口 ID 占 64 位 。 当 读者 在 不 同 技术 读物 中 看 到 上 述 两 种 不 
同 的 全 局 单 播 地 址 格式 时 ， 不 必 觉 得 相互 矛盾 。 


综 上 所 述 ， 将 全 局 单 播 IPv6 地 址 的 前 3 位 固定 值 转换 为 IPv6 表示 法 可 知 ， 全 局 单 
播 地 址 的 前 组 为 2000: :/3。 

2.， 唯 一 本 地 地 址 

尽管 IPv6 拥有 相当 充足 的 地 址 空间 ， 但 IANA 还 是 分 配 了 一 段 可 以 由 不 同 机 构 在 自 
己 私 有 网 络 中 复 用 的 私有 IP 地 址 空间 。 这 种 可 以 由 各 个 组 织 机 构 根 据 需 要 自行 使 用 而 不 
需要 问 地 址 分 配 机 构 申 请 的 单 播 IPv6 地 址 称 为 唯一 本 地 地 址 。 显 然 , 唯一 本 地 地 址 的 范 
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围 就 是 部 署 该 地 址 的 私有 网 络 ， 这 类 地 址 不 是 全 局 可 路 由 的 地 址 ， 它 的 作用 和 苑 围 都 相 
当 于 IPv4 中 的 私有 IP 地 址 。 
唯一 本 地 地 址 的 编 址 方式 如 图 7-3 所 示 。 
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1111110 全 局 ID 子 网 ID 接口 ID 
图 7-3 ”唯一 本 地 IPv6 地 址 的 结构 


如 图 7-3 所 示 ， 在 编 址 上 ， 唯 一 本 地 地 址 的 前 7 位 固定 为 1111110; 从 第 9 位 到 第 
48 位 的 这 40 位 是 一 个 相当 于 IPv4 地 址 中 网 络 位 的 全 局 ID; 而 唯一 本 地 地 址 后 面 的 子 网 
ID 部 分 与 接口 ID 部 分 的 长 度 与 全 局 单 播 地 址 相同 ,分别 为 16bit 和 64bit。 因 此 , 将 唯 
一 本 地 IPv6 地 址 的 前 7 位 固定 值 转换 为 IPv6 表示 法 可 知 ， 了 唯一 本 地 地 址 的 前 缀 为 
FC00::/7。 

读者 应 该 还 能 记得 ， 我 们 在 第 4 章 中 介绍 网 络 地 址 转换 CNAT) 技术 时 曾经 提 到 NAT 
的 一 种 应 用 场景 : 企业 并 购 时 ， 因 此 前 双方 的 企业 网 络 采用 了 相同 的 私有 IP 地 址 前 绥 ， 
为 避免 合并 后 的 网 络 出 现 IP 地 址 冲突 , 在 网 络 割 接 前 暂 以 网 络 地 址 转换 作为 通信 的 临时 
手段 。 考 虑 到 IPv4 地 址 空间 本 身 就 很 狭小 ，RFC 1918 仅 定 义 了 三 段 私 有 IPv4 地 址 供 企 
业 选 用 ， 因 些 企业 合并 时 双方 企业 中 使 用 的 私 网 IP 地 址 空间 重合 的 几率 极 高 。IPv6 则 
不 然 ， 私 有 网 络 的 管理 员 可 以 有 40bit 的 空间 来 自由 定义 企业 中 使 用 的 网 络 地 址 前 组 ， 
这 个 可 供 网 络 管理 员 自 由 使 用 的 地 址 长 度 甚至 比 IPv4 地 址 全 长 还 长 了 8bit， 因 此 不 同 
企业 使 用 了 相同 私有 IPv6 前 级 的 可 能 性 也 就 变 得 相当 低 了 。 

下 面 ， 我 们 来 简单 说 明 一 下 唯一 本 吉 地 址 的 第 8 位 。 关 于 唯一 本 地 地 址 第 8 位 为 0 
的 地 址 ( 即 前 缀 为 FC00::/8 的 IP 地址 ) 如 何 使 用 有 很 多 不 同 的 提议 ， 但 至 今 还 没有 任 
何 一 项 提议 得 到 了 标准 化 。 这 也 就 是 说 ，FC00:/8 这 个 IPv6 地 址 前 级 目前 仍然 是 保留 的 
地 址 空间 。 因此 , 目前 真正 提供 给 私有 网 络 自行 使 用 的 IPv6 地 址 都 是 以 11111101 开头 ， 
即 前 缀 为 FD00: :/8 的 IPv6 地 址 ， 如 图 7-4 所 示 。 ” 训 
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11111101 全 局 ID 子 网 ID 


图 7-4 当前 真正 用 于 私有 地 址 的 IPv6 地 址 空间 





说 明 : 

在 唯一 本 地 地 址 之 前 ,REC 定 义 过 一 种 前 绥 为 FEEC0::/10 的 IPv6 站 点 本 地 地 址 (及 FC 
3513 ) ， 并 一 度 将 这 种 地 址 作为 类 似 于 IPv4 私有 地 址 的 私有 网 络 可 复 用 地 址 使 用 。 根 据 
定义 ， 站 点 本 地 地 址 的 使 用 范围 应 该 是 一 个 站 点 内 部 。 然 而 ， 这 种 地 址 的 定义 只 包含 3 
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部 分 : 前 10 位 为 1111111011、 接 下 来 的 54 位 为 子 网 ID， 最 后 64 位 为 接口 ID。 这 也 就 
是 说 ， 与 后 来 定义 的 唯一 本 地 地 址 相 比 ， 这 种 地 址 没有 定义 全 局 ID 部 分 ， 导 致 了 人 们 
无 法 根据 站 点 本 地 地 址 本 身 判 断 出 这 个 地 址 标识 的 网 络 适 配器 接口 究竟 属于 哪个 站 把 。 
此 外 ,很 多 在 口头 交流 中 看 似 表 意 十 分 明确 的 字眼 在 用 来 进行 严谨 的 技术 定义 时 ， 往 往 
会 显得 十 分 模糊 ， 而 “站 点 ”就 属于 这 种 表意 十 分 模糊 的 词 。 考 虑 到 这 种 缺陷 ， 站 点 本 
地 地 址 在 2003 年 被 废止 (RFC 3879 ) 。 如 果 读 者 查阅 技术 资料 ， 发 现 一 些 技术 资料 将 
IPv4 的 私有 网 络 地 址 类 比 成 前 缀 为 FEC0::/10 的 站 点 本 地 地 址 ， 而 没有 提 到 唯一 本 地 地 
址 ， 请 留意 该 文献 的 时 效 性 。 天 


3， 链 路 本 地 地 址 : 

链 路 本 地 地 址 在 IPv4 地 址 中 找 不 到 可 以 类 比 的 对 象 这 是 IPv6 定义 的 一 种 全 新 的 
地 址 类 型 。 顾 名 思 义 ， 链 路 本 地 地 址 是 只 在 链 路 本 地 有 效 的 地 址 。 在 启用 IPv6 时 ， 网 络 
适配器 接口 就 会 自动 给 自己 配置 上 这 样 一 个 IPv6 地 址 。 所 以 ， 在 IPv6 环境 中 ， 每 一 台 
设备 都 无 需 经 过 管理 员 的 配置 ， 就 可 以 通过 这 个 自动 配置 的 链 路 本 地 地 址 和 连接 在 同一 
条 链 路 上 的 其 他 设备 进行 通信 。 当 然 ， 当 连 接 奏 同 -条 链 路 上 的 设备 通过 链 路 本 地 地 址 
相互 通信 时 , 这 些 数据 包 IPv6 头 部 封装 的 源 IPv6 地 址 和 目的 IPv6 地 址 都 会 是 彼此 的 链 
路 本 地 地 址 ， 因 为 链 路 本 地 地 址 只 在 链 路 本 地 有 效 ， 所 以 这 些 数据 包 不 会 被 发 送 到 其 他 
链 路 上 。 z 

链 路 本 地 地 址 的 编 址 方式 如 图 7-5 所 示 。 
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图 7-5 链 路 本 地 地 址 的 结构 

如 图 7-5 所 示 , 链 路 本 地 地 址 的 前 10 位 固定 为 1111111010, 之 后 的 54 位 固定 为 0， 
最 后 的 64 位 为 接口 也。 因此 ， 根 据 定义 ， 链 路 本 地 地 址 的 前 组 为 FE80: :/10。 

既然 所 有 链 路 本 地 地 址 的 前 64 位 都 是 相同 的 ， 那 么 一 个 适 配 帮 的 接口 在 局 用 IPv6 
时 ， 要 如 何 编 址 64 位 的 接口 ID 字段 ， 才 能 确保 目 己 的 链 路 本 地 地 址 在 所 在 链 路 中 不 会 
出 现 IP 地 址 神 突 呢 ? 答案 是 适配器 的 接口 需要 使 用 目 己 的 物理 MAC 地 址 来 填充 接口 ID 
字段 。 因 为 适配器 接口 的 物理 MAC 地 址 理论 上 应 该 是 唯一 的 ， 所 以 通过 MAC 地 址 生成 的 
接口 ID 以 及 对 应 的 链 路 本 地 地 址 也 是 唯一 的 。 

将 适配器 接口 的 MAC 地 址 转换 为 接口 ID 的 方法 是 将 MAC 地 址 相关 的 EUI-64 标识 符 
的 第 7 位 反 转 ， 这 一 位 也 称 为 U/L 位， 是 全 局 (Universal) /本 地 (Local) 位 的 简称 。 
既然 这 里 需要 提 到 EUI-64 标识 符 ， 我 们 不 妨 解释 一 下 MAC 地 址 的 编 址 规则 。 

IEEE 定义 了 三 种 MAC 地 址 的 格式 ， 即 MAC-48、EUI-48 和 EUI-64， 每 种 格式 最 后 的 
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数字 即 用 这 种 格式 标识 MAC 地 址 所 使 用 的 位 数 ， 而 之 前 我 们 在 《网 络 基 础 》 第 4 草 中 介 
绍 的 MAC 地址 表示 方法 为 MAC-48 格式 。MAC-48 和 EUI-48 这 两 种 表示 方法 在 数值 上 完全 
相同 , 它们 的 区 别 只 停留 在 称谓 层面 。 关于 EUI-48 标识 符 , 我 们 在 这 里 不 作 进一步 说 明 ， 
因为 我 们 现在 的 重点 是 如 何 将 MAC-48 标识 符 转 换 为 EUI-64 标识 符 , 进而 将 EUI-64 标识 
符 转换 为 链 路 本 地 地 址 中 的 接口 ID。 

我 们 在 《网 络 基础 》 第 4 章 中 曾经 介绍 过 : 在 MAC 地 址 的 6Byte 长 度 中 ， 前 3 个 持 
节 是 IEEE 分 配给 该 MAC 地 址 适配器 三 商 的 代码 ， 这 个 代码 也 就 是 …… 组 织 唯一 标识 符 
(Organizationally-Unique Identifier，0OUI) 。…… 而 MAC 地 址 的 后 3 个 字 节 则 要 由 
设备 制造 商 给 各 个 适配器 分 配 。 要 把 MAC 地 址 的 MAC-48 标识 符 转换 为 EUI-64 标识 符 ， 
我 们 只 需要 在 MAC 地 址 前 3 个 字 节 ， 即 0UI 的 后 面 ， 插 入 固定 的 十 六 进 制 数 FF-FE， 然 
后 再 用 设备 制造 商 分 配给 这 个 适配器 MAC 地 址 的 后 3 个 字 节 将 其 补充 完整 即 可 。 

例如 ， 如 果 我 们 希望 将 MAC 地 址 00-9A-CD-00-00-0A 转换 为 EUI-64 标识 符 ， 我 们 
只 需要 在 00-9A-CD 的 后 面 加 上 FF-FE 即 可 。 因 此 这 个 MAC 地 址 的 EUI-64 标识 符 为 
00-9A-CD-FF-FE-00-00-0A。 在 获得 了 这 个 MAC 地 址 的 EUI-64 标识 符 之 后 ， 我 们 只 需要 
将 这 个 标识 符 的 第 7 位 二 进 制 数 反 转 ， 就 可 以 得 到 这 个 适配器 接口 在 自动 配置 链 路 本 地 
IPv6 时 使 用 的 接口 ID 了 : 02-9A-CD-FF-FE-00-00-0A。 这 个 过 程 如 图 7-6 所 示 。 


OUI 


Pi 


0019A-CD | FF-FE 00-00-0A 


00000000 


适配器 接口 A 

















| | 
| 
适配器 接口 的 链 路 本 地 地 址 接口 ID: 


图 7-6 使 用 适 配 需 MAC 地 址 获得 链 路 本 地 地 址 接口 ID 的 计算 过 程 





在 上 文中 ， 我 们 解释 了 链 路 本 地 地 址 的 构成 和 通过 MAC 地 址 EUI-64 标识 符 转换 得 
到 链 路 本 地 地 址 接口 ID 的 方法 。 现在 我 们 可 以 将 这 些 信息 汇总 成 一 个 结论 : 链 路 本 地 地 
址 是 由 固定 的 64 位 前 级 和 通过 网 络 适配器 接口 MAC 地址 转换 得 到 的 64 位 接口 ID 组 成 的 。 
这 种 结构 决定 了 每 个 适配器 在 启用 IPv6 时 都 可 以 不 借助 任何 设备 提供 的 额外 信息 就 立 
刻 给 自己 配置 链 路 本 地 IPv6 地 址 。 

链 路 本 地 地 址 的 构成 让 它 拥有 很 多 物理 地 址 的 属性 ， 链 路 本 地 地 址 的 这 种 属性 
当然 与 这 类 地 址 的 使 用 相关 。 比 如 ， 链 路 本 地 地 址 不 是 层次 化 的 ， 所 有 链 路 本 地 地 
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址 使 用 的 都 是 相同 的 前 级 , 所 以 这 类 地 址 在 结构 上 是 无 法 汇总 的 , 或 者 说 是 扁平 的 。 
不 过 ， 因 为 链 路 本 地 地 址 也 像 MAC 地 址 一 样 只 会 用 于 链 路 本 地 的 寻 址 ， 路 由 器 既 不 
会 通过 路 由 协议 将 这 类 地 址 通告 给 其 他 网 络 ， 也 不 会 将 以 这 类 地 址 作为 目的 地 址 的 
数据 包 路 由 给 其 他 网 络 ， 所 以 这 类 地 址 虽然 无 法 进行 汇总 ， 但 它 本 身 就 是 不 可 路 由 
的 地 址 ， 它 能 否 汇 总 对 路 由 表 中 IPv6 路 由 条 目的 数量 多 少 不 会 产生 任何 影响 。 链 
路 本 地 地 址 的 用 途 之 一 就 是 相 邻 设备 间 通 信 。 所 以 ， 使 用 这 种 十 分 稳定 的 链 路 本 地 
地 址 作为 路 由 条 目的 下 一 跳 地 址 可 以 让 路 由 器 在 问 下 一 跳 设 备 转 发 数据 包 时 不 会 
受到 网 络 重新 编 址 的 影响 。 二 

4. 未 指定 地 址 

未 指定 地 址 就 是 128 位 地 扯 全 部 取 0 的 前 缀 地 址 。 根据 简化 规则 ， 未 指定 地 址 写 
作 ::/128， 这 种 地 址 相当 于 IP&4 中 的 0. 0. 0. 0/32。 管 理 员 不 能 给 网 络 适配器 接口 分 
配 这 个 未 指定 地 址 。 只 有 当 一 台 IPv6 设备 还 没有 学 习 到 地 址 时 ， 才 会 将 未 指定 地 址 
作为 IPv6 数据 包 的 源 IPv6 地 址 。 比 如 ， 一 人 台 刚 刚 接 入 网 络 的 IPv6 主机 在 通过 邻居 
发 现 协议 CNDP) 发 送 路 由 器 请 求 消息 时 ， 就 可 以 在 封装 数据 包 时 将 未 指定 地 址 作为 
这 个 消息 的 源 地 址 。IPv6 路 由 器 不 会 转发 以 未 指定 地 址 作为 源 地 址 或 作为 目的 地 址 
的 数据 包 。 


注 尝 : 

关于 邻居 发 现 协议 的 工作 方式 , 我 们 会 在 本 章 的 7.3.1 节 中 进行 介绍 , 这 里 暂 不 作 详 
细 解 释 。 

5.， 环 回 地 址 

环 回 地 址 是 前 127 位 全 部 取 0, 最 后 1 位 取 1 的 128 位 前 缀 地 址 。 根 据 简 化 规则 ， 
环 回 地 址 写作 ::1/128。 环 回 地 址 相当 于 IPv4 中 的 环 回 地 址 127. 0. 0. 1/8， 这 种 地 址 
标识 的 是 发 送 方 节点 自己 ,管理 员 不 能 给 网 络 适 配器 接口 分 配 这 个 环 回 地 址 。 当 节点 
(主要 是 节点 上 的 应 用 ) 封装 了 一 个 以 ::/128 作为 目的 地 址 的 IPv6 数据 包 时 ， 设 备 
的 协议 栈 会 将 这 个 数据 包 发 送 给 虚拟 接口 (会 接收 以 这 个 地 址 作为 目的 地 址 的 数据 
包 ) 。 所 以 ,只 要 设备 的 协议 栈 工 作 正 常 ， 设 备 束 可 以 接收 到 发 送 给 这 个 环 回 地 址 的 

7. 2. 1 节 对 五 类 常见 的 IPv6 单 播 地 址 进行 了 介绍 ， 其 中 包括 全 局 单 播 地 址 、 唯 一 本 
地 地 址 、 链 路 本 地 地 址 、 未 指定 地 址 和 环 回 地 址 。 然 而 ， 涉 及 IPv6 的 技术 往往 拥有 十 分 
宏大 的 知识 体系 ， 要 求 作者 在 写作 时 综合 后 文中 要 介绍 的 整体 知识 结构 进行 取舍 。 限 于 
篇 幅 , 除了 上 述 五 类 IPv6 单 播 地 址 之 外 , 另外 一 些 与 ITPv4 相关 的 IPv6 单 播 地 址 及 其 他 
特殊 功能 的 IPv6 单 播 地 址 我 们 就 没有 在 这 里 进行 介绍 。 感 兴趣 的 读者 可 以 通过 其 他 渠道 
了 解 全 面 的 信息 。 
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7.2.2 IPv6 任意 播 地 址 


任意 播 是 IPv6 定义 的 一 种 全 新 的 数据 发 送 模式 。 不 过 ，IPv6 并 没有 定义 任意 播 专 
用 的 地 址 空间 ， 而 是 让 任意 播 与 单 播 共 享 相同 的 地 址 空间 。 这 也 就 是 说 ， 我 们 无 法 根据 
地 址 本 身 ， 判 断 出 这 是 单 播 地 址 还 是 任意 播 地 址 。 

如 果 说 单 播 所 执行 的 是 一 对 一 的 通信 方式 ， 组 播 所 执行 的 是 一 对 多 的 通信 方式 , 三 
播 所 执行 的 是 一 对 全 体 的 通信 方式 ， 那 么 任意 播 所 执行 的 束 是 一 对 最 近 
(One-to-Nearest) 的 通信 和 方式， 如 图 7-7 所 示 。 


单 播 | 广播 单 播 地 址 : A 


单 播 地 址 : S 人 一 一 一 一 ~ 〇 单 播 地 址 : A 


单 播 地 址 : S 单 播 地 址 : B 


源 : S; 目的 : A 


图 7-7 几 种 数据 发 送 方式 示意 


当 网 络 中 多 个 属于 不 同 主机 的 网 络 通 配器 接口 上 配置 了 相同 的 任意 播 地 址 时 ， 那 么 
发 送 方 以 这 个 地 址 作为 目的 地 址 的 数据 包 会 被 路 由 设备 路 由 给 在 该 路 由 协议 看 来 ) 距 
离 发 送 方 最 近 的 那个 配置 了 该 任意 播 地 址 的 网 络 适配器 接口 。 从 这 个 角度 上 看 ， 任 意 揪 
的 做 法 可 以 与 麦 乐 送 网 站 点 餐 进 行 类 比 。 当 我 们 在 麦 乐 送 网 站 下 单 时 ， 订 单 会 被 提交 给 
距离 下 单 者 所 在 位 置 最 近 的 麦当劳 餐厅 进行 处 理 ， 并 由 这 家 餐厅 来 提供 食品 加 工 和 送 餐 
服务 。 

我 们 在 系列 教材 《网 络 基础 》 第 8 章 中 介绍 的 DNS 根 服务 器 就 是 通过 任意 播 来 实 
现 的 。 目 前 互联 网 一 共有 13 个 DNS 根 服务 器 ， 在 这 13 个 DNS 根 服务 器 中 ， 有 11 个 
DNS 根 服务 器 都 是 由 很 多 台 使 用 任意 播 地 址 的 物理 服务 器 组 成 的 服务 器 集群 ， 组 成 同 
一 个 逻辑 DNS 根 服务 器 的 众多 物理 DNS 服务 器 都 分 布 在 世界 各 地 8?。 当 路 由 器 接收 到 
以 其 中 某 个 DNS 根 服务 器 的 任意 播 地 址 作为 目的 地 址 的 DNS 查询 , 路 由 器 都 会 按照 路 
由 协议 的 就 近 原 则 ， 将 查询 消息 交 给 离 路 由 器 最 近 的 那 台 物理 DNS 服务 器 去 进行 处 


”DNS 根 服务 器 B 和 DNS 根 服务 器 目前 未 采用 通过 任意 播 地 址 分 布 在 世界 各 地 的 做 法 。 
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理 ， 如 图 7-8 所 示 。 


2001 :9303027:5:2:30 


2001:503:c27::2:30 辣 2001=:503:3c¢27: :2:30 
f 










息 


| 发 往 DNS 服务 器 、、、 
| 2001:503:c2 太 :2:30 | 
的 DNS 查询 消息 











| 


PC 
图 7-8 任意 播 工 作 方式 示意 


7.2.3 ;JPv6 组 播 地 址 


组 播 定 义 了 一 种 数据 发 送 机 制 ， 即 多 台 加 入 了 某 个 组 播 组 ， 并 成 为 了 该 组 播 组 成 员 
的 设备 都 会 对 以 这 个 组 播 组 地 址 作为 目的 地 址 的 数据 包 执行 解 封装 , 并 查看 其 IP 头 部 中 
封装 的 数据 。 而 在 这 样 的 组 播 机 制 中 , 数据 发 送 方 则 既 可 以 是 组 播 组 成 员 , 也 可 以 不 是 。 
因此 在 图 7-7 左下 角 组 播 的 图 示 中 ， 只 有 G6 组 的 组 成 员 设备 接收 了 发 送 方 以 S 作为 源 地 
址 ， 以 G 作为 目的 地 址 的 数据 。 为 了 标识 发 送 方 既 可 以 是 6 的 组 成 员 ， 也 可 以 不 是 6 的 
组 成 员 ， 我们 在 发 送 方 的 位 置 使 用 了 斜体 字 来 标识 “组 成 员 : G” 的 字样 。 

组 播 的 应 用 相当 广泛 ， 比 如 我 们 在 系列 教材 《路 由 与 交换 技术 》 中 介绍 的 RIPv2 和 
0SPF 这 两 种 路 由 协议 就 是 使 用 组 播 来 发 送信 息 的 。 这 也 就 是 说 ， 启 用 了 这 种 路 由 协议 的 
路 由 设备 会 自动 加 入 某 个 组 播 组 ， 并 监听 那些 以 该 组 播 组 地 址 为 目的 地 址 的 消息 ， 因 为 
这 些 消息 是 与 这 个 路 由 协议 有 关 的 信息 。 

关于 组 播 组 地 址 ，IPv6 和 IPv4 一 样 为 组 播 预 留 了 地 址 空间 。IPv6 组 播 组 地 址 的 结 
构 如 图 7-9 所 示 。 


8 比特 4 比特 | 4 比特 112 比 特 





图 7-9 组 播 地 址 的 结构 
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如 图 7-9 所 示 ， 在 编 址 上 ， 组 播 IPv6 地 址 的 前 8 位 固定 为 1。 

在 前 8 位 为 1 (0xFF) 之 后 ， 从 第 9 位 到 第 12 位 的 这 4 位 是 标记 位 。 在 这 4 位 标记 
位 中 ， 第 1 位 ( 即 最 左 侧 位 〉 目前 还 没有 定义 ， 属 于 保留 标记 位 ， 因 此 这 一 位 固定 为 0。 
标记 位 第 2 位 的 用 途 与 汇集 点 (Rendezvous Point) 有 关 ， 因 此 这 一 位 称 为 R 位 ， 汇 集 
点 是 组 播 中 的 一 个 概念 ， 这 个 概念 超出 了 本 书 的 知识 范围 ， 因 此 不 作 介 绍 ， 读 者 只 需 掌 
握 R 位 在 绝 大 多 数 情况 下 取 值 为 0 即 可 。 第 3 位 标识 的 是 这 个 组 播 组 地 址 是 否 携带 了 前 
缀 〈Prefix) ， 因 此 称 为 P 位 。 如 这 个 组 播 组 地 址 无 前 级 ， 则 P 位 取 值 为 0。 鉴 于 组 播 
地 址 多 不 带 前 经， 因此 P 位 的 取 值 在 大 多 数 情况 下 为 0。 标 记 位 的 最 后 一 位 为 了 位， 这 
一 位 比较 重要 。T 位 为 0 表示 组 播 组 已 经 被 IANA 分 配给 了 某 种 操作 或 某 项 协议 ， 残 像 它 
们 把 224. 0. 0. 9 分 配给 RIPv2 那样 ， 而 T 位 为 1 表示 组 播 组 可 以 由 管理 员 临 时 充当 一 些 
设备 的 组 播 组 。 因此， 各 个 协议 使 用 的 组 播 组 都 是 以 FF0 开头 的 IPv6 地 址 ,而 管理 员 可 
以 使 用 的 组 播 组 都 是 以 FF1 开头 的 IPv6 地 址 。 

IPv6 组 播 地 址 也 像 单 播 地 址 一 样 拥有 一 个 有 效 范 围 ， 而 组 播 地 址 从 第 13 位 到 第 
16 位 的 这 4 位 范围 位 定义 了 这 个 组 播 地 址 的 有 效 范 围 。 不 同 沁 围 位 的 取 值 表示 的 学 围 















见 坊 人 %-3、 
表 7-2 IPv6 组 播 地 址 范围 位 取 值 的 表意 
子 网 本 地 
管理 范围 本 地 
站 点 本 地 
8 | 本 地 | 





如 果 读 者 认为 表 7-2 中 的 “本 地 ”这 种 表述 方式 不 窒 易 理解 ， 不 妨 将 其 理解 为 “以 
使 用 前 级 的 IPv6 组 播 地 址 作为 目的 地 址 的 IPv6 数据 包 , 不 会 被 发 送 到 该 范围 之 外 ”。 
比如 , 以 ff01::/16 为 前 级 的 组 播 地 址 作为 目的 地 址 的 IPv6 数据 包 不 会 被 发 送 到 接口 之 
外 。 这 也 就 是 说 ， 这 基数 据 包 不 会 被 发 送 到 链 路 上 ， 它 们 的 功能 相当 于 我 们 在 单 播 IPv6 
地 址 中 介绍 的 环 回 地 址 。 同 理 ， 以 ff02: :/16 为 前 绥 的 组 播 地 址 作为 目的 地 址 的 IPv6 
数据 包 不 会 被 发 送 到 链 路 本 地 之 外 ， 以 此 类 推 。 

因为 路 由 设备 之 间 在 链 路 本 地 交换 管理 数据 的 做 法 相当 第 见 ， 而 这 种 在 链 路 本 地 区 
换 管理 数据 的 操作 方式 又 多 与 网 络 管理 类 应 用 协议 有 关 , 所 以 读者 在 往 后 的 工作 学 习 中 ， 
有 可 能 会 遇 到 大 量 标记 位 取 0 CIANA 分 配给 某 种 操作 或 协议 的 ) ， 范 围 位 取 2( 链 路 本 
地 ) 的 IPv6 组 播 地 址 ， 即 前 级 为 ff02 的 组 播 地 址 ， 其 中 包括 但 不 限于 表 7-3 中 罗列 的 
公共 IPv6 组 播 地 址 。 
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表 7-3 常用 的 IPv6 组 播 地 址 
链 路 本 地 的 所 有 节点 
所 有 启用 了 0SPFv3 的 路 由 器 
所 有 0SPFv3 指定 路 由 器 (DR) 
所 有 启用 了 RIP 的 协议 
链 路 本 地 的 所 有 DHCP 服务 器 和 DHCP 中 继 代理 



















注 焙 : - 
当然 ， 设 备 之 间 在 通过 有 些 协 议 交 互 组 播 数 据 时 ,: 吨 有 可 能 需要 将 这 些 数 据 发 


送 给 链 路 本 地 之 外 的 网 络 。 比 如 ，DHCP 服务 器 不 在 链 路 本 地 就 属于 这 种 情况 ， 因 
此 也 有 一 些 范围 位 并 不 是 2 的 组 对 IPv6 地 址 ， 属 于 公共 IPv6 组 播 地 址 (只 要 这 个 
组 播 地 址 标记 位 的 最 后 1 位 ， 即 于 位 是 0) 。 比 如 ，fm5:1:3 就 是 一 个 公共 IPv6 组 
播 地 址 , 这 个 地 址 标识 的 是 站 点 本 地 的 所 有 DHCP 服务 器 。 我 们 以 ff02 前 缀 为 线索 
引出 公共 IPv6 组 播 地 址 ， 只 是 因为 前 级 为 ff02 的 公共 IPv6 组 播 地 址 更 为 第 见 ， 也 
更 为 第 用 . | 


在 IPv6 中 ， 还 有 一 个 特殊 类 型 的 组 播 地 址 叫 作 请 求 节点 组 播 地 址 。 请 求 节点 组 搬 
地 址 的 内 容 超出 了 华为 ICT 学 院 路 由 交换 技术 系列 教材 学 生 需 要 掌握 的 知识 范畴 ， 因 此 
我 们 在 本 系列 教材 中 不 会 对 这 个 概念 作 过 多 的 理论 演绎 。 在 后 文中 提 到 一 些 必须 通过 请 
求 节点 组 播 地 址 才能 解释 清楚 的 技术 概念 时 ， 我 们 会 围绕 相应 进行 介绍 的 核心 概念 ， 有 
节制 地 对 请 求 节点 组 播 地 址 进行 说 明 。 

7. 2. 3 节 对 IPv6 地 址 的 分 类 进行 了 介绍 ， 其 中 对 于 IPv6 单 播 地 址 分 类 的 介绍 尤为 
详细 。7.3 节 会 对 IPv6 环境 中 网 络 层 通信 的 建立 过 程 进行 说 明 。 


7.3 ”IPv6 通信 建立 


在 定义 下 一 代 IP 协议 之 前 ，IETF 曾经 为 了 改善 IP 网 络 的 通信 和 质量， 而 就 下 一 代 
IP 协议 应 该 在 IPv4 基础 上 所 作 的 改进 广泛 征询 了 意见 。 通过 收集 到 的 意见 ，IETF 发 现 ， 
IPv4 通信 的 实现 需要 由 网 络 技 术 领 域 的 专业 人 士 参 与 这 一 点 遭 到 了 人 们 的 诉 病 。 因 此 ， 
IETF 需要 下 一 代 IP 协议 能 够 在 专业 技术 人 员 缺 席 的 情况 下 上 自动 建立 通信 ， 通 过 下 一 代 
IP 协议 实现 网 络 的 即 插 即 用 。 在 7. 3 节 中 ， 我 们 会 介绍 IPv6 赖 以 实现 网 络 即 插 即 用 的 
机 制 。 既 然 是 实现 即 插 即 用 的 机 制 ， 这 些 机 制 在 一 般 情 况 下 当然 不 需要 专业 技术 人 员 通 
过 配置 进行 干预 ， 但 理解 这 些 机 制 对 于 专业 技术 人 员 理 解 IPv6 网 络 的 工作 原理 至 关 重 
要 ， 是 网 络 技 术 人 员 的 基本 功 。 
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7.3.1 NDP 协议 概述 


在 IPv6 的 即 插 即 用 机 制 中 ， 邻 居 发 现 协议 (NDP) 扮演 着 核心 的 角色 。NDP 最 初 定 
义 在 RFC 1970 中 ， 后 来 RFC 用 RFC 2461 替代 了 RFC 1970。2007 年 9 月 ，RFC 2461 
也 被 废弃 ， 目 前 NDP 定义 在 RFC 4861 中 。 按 照 RFC 的 说 法 ，IPv6 中 的 邻居 发 现 协议 就 
相当 于 IPv4 中 的 地 址 解析 协议 CARP) 、ICMP 的 路 由 器 发 现 和 ICMP 的 重 定 向 ， 但 NDP 
在 IPv4 协议 的 基础 上 提供 了 更 多 的 功能 ， 也 作出 了 大 量 的 改进 ”。 实际 上 , 除了 ICMP、 
ARP 提供 的 服务 之 外 , NDP 也 可 以 帮助 IPv6 设备 发 现 本 地 网 络 中 使 用 的 IPv6 地 址 前 组 
等 参数 ， 并 帮助 IPv6 设备 实现 地 址 自动 配置 等 。 在 某 种 程度 上 ，NDP 工作 原理 的 复杂 
程度 比 我 们 用 一 章 的 篇 幅 介 绍 的 DHCP 犹 有 过 之 。 因 此 在 本 书 中 ， 我 们 只 从 帮助 读者 理 
解 IPv6 设备 即 插 即 用 是 如 何 实现 的 这 个 角度 出 发 ,， 对 NDP 的 基本 工作 原理 进行 简单 的 
介绍 。 

和 淀 藉 : 

如 果 希 望 进一步 了 解 NDP 的 工作 方式 , 我 们 强烈 建议 读者 在 理解 7.3 节 内 容 的 基 
础 上 ， 通 过 实验 抓 包 配 合 RFC 文档 查询 的 方式 进行 自学 。 在 现 有 知识 的 基础 上 ， 通 
过 搭建 实验 环境 、 查 询 标 准 文档 自学 陌生 技术 ， 这 是 每 一 位 优秀 技术 人 员 都 不 可 或 缺 
的 能 力 。 一 


NDP 协议 提供 邻居 发 现 服务 是 通过 ICMPv6 协议 封装 消息 来 实现 的 。 当 IPv6 头 部 中 
封装 的 是 ICMPv6 头 部 时 ，IPv6 头 部 的 下 一 个 头 部 字段 取 值 为 58。ICMPv6 就 是 Ipv6 
版 的 ICMP， 因 此 ICMPv6 消息 也 和 ICMP 消息 一 样 封装 在 IP 头 部 之 中 ， 但 和 IPv6 同 
属于 网 络 层 。 不 仅 如 此 ，ICMPv6 对 于 头 部 固定 字段 的 定义 也 与 ICMP 相同 ， 如 图 7-10 
所 示 。 


8 比特 8 比特 16 比特 





名 7-10 ”ICMPv6 头 部 封装 格式 


NDP 定义 了 5 种 消息 类 型 ， 所 有 这 5 种 消息 在 IPv6 头 部 的 跳 数 限 制 封装 的 数值 都 是 
255。 如 果 接 收 方 发 现 自己 接收 到 的 一 个 IPv6 数据 包 中 封装 的 是 NDP 消息 ， 而 它 的 跳 数 
限制 字段 的 值 又 不 是 255， 那 么 接收 方 IPv6 设备 就 会 将 这 个 NDP 消息 丢弃 。 在 ICMPv6 
封装 这 5 种 NDP 消息 时 ， 它 们 的 编码 字段 值 皆 会 被 设置 为 0， 不 同 消息 类 型 是 通过 类 型 
值 来 标识 的 ， 这 5 种 消息 分 别 为 。 


 RFC 4861 Section 3. 1。 
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e 路 由 需 请 求 (Router Solicitation) 消息 ; 简称 RS 消息 ，ICMPv6 头 部 中 的 类 
型 字段 取 133。 
e 路 由 器 通告 (Router Advertisement) 消息 : 简称 RA 消息 ，ICMPv6 头 部 中 的 
类 型 字段 取 134。 
。 ”邻居 请 求 (Neighbor Solicitation) 消息 : 简称 NS 消息 ，ICMPv6 头 部 中 的 类 
型 字段 取 135。 
e 邻居 通告 (Router Advertisement) 消息 : 简称 NA 消息 ，ICMPv6 头 部 中 的 类 
型 字段 取 136。 1 
。 重 定 问 (Redirect) 消息 : ICMPv6 头 部 中 的 类 型 字段 取 137。 
显然 ,不同 NDP 消息 类 型 蕉 消息 字段 部 分 封闭 的 信息 也 各 不 相同 。 例 如 ，RS 消息 的 
消 有 息 部 分 , 就 只 封装 了 32 位 的 保留 字段 和 非 固 定 长 度 的 可 选项 部 分 ,一 个 NDP 路 由 器 请 
求 消息 在 网 络 层 的 封装 如 图 7-11 所 示 。 
4 比特 8 比特 20 比 特 





目的 IP 地 址 =FF02: :2 


ICMPv6 头 部 


ICMPv6 消 息 部 分 
(NDP 消 息 部 分 ) 


图 7-11 NDP 路 由 器 请 求 消息 网 络 层 的 封装 


图 7-11 所 示 的 路 由 右 请 求 消 奶 是 由 链 路 本 地 主机 封装 的 消 号 ， 其 目的 在 于 请 求 链 
路 本 地 中 的 路 由 器 发 送 一 条 路 由 器 通告 (RA) 消息 。 当 一 台 IPv6 设备 的 适配器 接口 刚刚 
- 接 入 本 地 网 络 时 ， 它 就 会 以 7.2.1 节 (IPv6 单 播 地 址 ) 中 介绍 的 未 指定 地 址 〈: : ) 或 者 
自己 的 链 路 本 地 地 址 作为 源 地 址 ， 以 7. 2. 3 (IPv6 组 播 地 址 ) 节 表 7-3 中 介绍 的 链 路 本 
地 所 有 路 由 器 组 播 地 址 (FF02::2) 作为 目的 地 址 发 送 一 条 NDP 路 由 器 请 求 (RS) 消息 ， 
请 求 链 路 本 地 路 由 器 为 目 己 提供 一 些 信 息 ， 如 图 7-12 所 示 。 


注 粹 ': 
由 于 RS 消息 IPv6 头 部 的 源 IP 地 址 既 有 可 能 是 未 指定 地 址 ， 也 有 可 能 是 始 发 网 络 
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适配器 接口 的 链 路 本 地 IPv6 地 址 ,因此 我 们 在 图 7-11 中 使 用 了 和 斜体 字 标 识 未 指定 地 址 。 







《ANDp 路 由 器 请 求 消息 
发 信人 : 

收 信人 : FFO02: 人» 
正文 : 


致 链 路 本 地 的 路 由 器 ; 

您 好 ， 我 是 新 来 的 链 路 本 地 设备 ， 我 
的 MAC 地 址 是 00-94-CD-11-11-11。 
和 请 开始 你 本 表演 。 


IP 摄 像 头 影音 终端 台式 机 笔记 本 电脑 
图 7=12 一 人 台 IPv6 设备 发 送 NDP 路 由 器 请 求 消 息 的 示意 


注 冬 : 
ns 
了 设备 提供 的 MAC 地 址 。 


因为 具有 路 由 器 才 会 监听 链 路 林地 路 由 器 组 播 地 址 ， 所 以 网 络 中 也 只 有 路 由 器 会 使 
用 路 由 器 通告 (RA) 消息 对 RS 消息 作出 响应 。 此 时 ， 如 果 路 由 器 接收 到 的 RS 消息 源 IP 
地 址 为 未 指定 地 址 (::) ， 那 么 路 由 器 丈 会 以 7.2.3 小 下 (IPv6 组 播 地 址 ) 表 7-3 中 介 
绍 的 链 路 本 地 所 有 节点 组 播 地 址 (FF02: :1) 作 为 RA 数据 包 的 目的 地 址 来 封装 组 播 的 NDP 
路 由 器 通告 消息 。 如 果 路 由 器 接收 到 的 RS 消息 源 IP 地 址 为 请 求 方 的 链 路 本 地 地 址 ， 则 
路 由 露 会 以 该 链 路 本 地 地 址 作为 作为 RA 数 据 包 的 目的 地 址 来 封 骤 单 播 的 NDP 路 由 融通 告 
消息 。 无 论 RA 消息 的 目的 地 址 为 何 ， 它 的 源 地 址 永远 是 消息 始 发 接口 的 链 路 本 地 地 址 。 
通过 RA 消息 ， 路 由 器 会 向 网 络 中 的 设备 提供 一 些 信息 ， 如 图 7-13 所 示 。 

在 接收 到 这 条 RA 消息 之 感 ， 请 求 万 束 会 将 路 由 咒 的 链 路 本 地 地 址 作为 默认 路 由 地 
址 添加 到 自己 的 路 由 表 中 。 

除了 在 接收 到 RS 消息 之 后 ， 以 RA 消息 作出 响应 之 外 ， IPv6 路 由 器 也 会 按照 一 定 的 
周期 ， 主 动向 链 路 以 组 播 的 形式 (目的 地 址 为 FF02::1) 发 送 RA 消息 ， 疝 链 路 中 的 其 他 
设备 通告 相关 信息 。 因 此 , 路 由 器 通告 消息 采用 的 是 周期 发 送 与 触发 发 送 相 结合 的 方式 。 

7.3. 1 区 对 NDP 的 封装 与 基本 工作 原理 进行 了 人 简单 的 介绍 , 也 对 IPv6 环境 中 路 由 器 
发 现 的 方式 进行 了 描述 。7. 3. 2 节 会 介绍 NDP 协议 是 如 何 替 代 ARP 协议 ， 实 现 链 路 层 地 
址 解析 的 。 
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NDP 路 由 器 通告 消息 SS 
发 信人 : FE80: :029A:CDFF:FE22:1111 
收 信 人 :; FF02::1 


正文 : 

致 链 路 本 地 所 有 接口 : 

大 家 好 ， 我 是 这 条 链 路 中 的 路 由 器 〈 网 卡 接口 )。 
本 链 路 没有 指定 跳 数 限制 。 请 各 位 采用 有 状态 地 
址 自动 配置 的 方式 配置 自己 的 IPv6 地 址 。 我 的 

一 -MAC 地 址 为 00-94-CD-22-11-11。 本 链 熙 的 明 大 

AS 册 多 据 单 元 为 1500 竺 苛 。 2 


人 


台式 机 笔记 本 电脑 
图 7-13 ”一 台 路 由 器 响应 NDP 二 右 通 告 消息 的 示意 


路 由 器 ARI 


sr 
ar 





7.3.2 地 址 解析 


通过 《网 络 基础 》 的 学 习 ， 我 们 知道 在 以 太 网 环境 中 ， 执 行 IPv4 协议 的 设备 是 
通过 ARP 协议 来 查询 目的 设备 链 路 层 地 址 的 。 然 而 ，ARP 协议 是 无 法 照搬 到 IPv6 环 
境 中 的 。IPv6 就 没有 定义 广播 地 址 ， 因 此 通过 广播 消息 来 查询 目的 设备 链 路 层 地 址 
的 做 法 就 行 不 通 。 为 了 解决 查询 目的 设备 链 路 层 地 址 的 问题 ，IPv6 设备 需要 通过 NDP 
协议 来 发 挥 ARP 在 IPv4 网 络 中 的 作用 。 我 们 在 7.3. 1 节 的 开始 就 引用 RFC 4861， 对 
此 进行 了 说 明 。 

有 具体 来 说 ，IPv6 设备 需要 依靠 我 们 在 7. 3. 1 节 中 介绍 的 NDP 邻居 请 求 (NS) 和 NDP 
邻居 通告 (NA) 消息 来 实现 链 路 层 地 址 的 查询 和 响应 /通告 。 不 过 ， 正 如 我 们 在 上 文 介绍 
的 那样 ，IPv6 没有 定义 广播 地 址 ， 所 以 NDP 也 就 无 法 像 ARP 那样 在 本 地 网 络 中 采用 广播 
寻 人 的 方式 同 网 络 中 的 所 有 设备 发 送 查 询 消 轧 ,期 待 被 请 求 设备 通过 目的 IP 地 址 发 现 自 
己 是 请 求 对 象 并 作出 响应 。 于 是 ， 如 何在 IPv6 头 部 封装 邻居 请 求 消 息 的 目的 IPv6 地 址 
成 了 一 个 问题 ,对 此 ,NDP 的 解决 方法 是 使 用 目的 设备 的 请 求 节点 组 播 地 址 作为 NS 的 IPv6 
目的 地 址 。 

关于 请 求 节点 组 播 地 址 ， 我 们 在 7.2 节 (IPv6 地 址 分 类 ) 提 过 。 在 这 里 ， 需 要 对 它 
进行 一 个 简单 的 说 明 。 请 求 节点 组 播 地址 (也 译 为 被 请 求 节点 组 播 地 址 〉 的 前 104 位 固 
定 为 FF02: :1:FF， 后 24 位 则 直接 套用 被 请 求 节点 单 播 IPv6 地 址 接口 ID 的 后 24 位 。 每 
当 一 个 网 络 适配器 接口 获得 了 一 个 单 播 或 任意 播 IPv6 地 址 时 ， 它 就 会 同时 监听 发 送 给 这 
个 单 播 IPv6 地 址 对 应 的 请 求 节点 组 播 地 址 ， 而 这 个 单 播 IPv6 地 址 对 应 的 请 求 节点 组 播 
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地 址 是 把 这 个 单 播 IPv6 地 址 接口 ID 部 分 的 后 24 位 填充 到 FF02: :1:FF/104 这 个 前 级 后 
面 来 获得 的 。 

IPv6 设备 发 送 NDP 邻居 请 求 消 息 的 初 囊 ， 是 希望 请 求 到 该 IPv6 单 播 地 址 所 对 应 
网 络 适 配器 接口 的 链 路 层 地 址 。 所 以 ，NS 消息 的 发 送 方 当然 也 会 拥有 IPv6 单 播 地 址 
对 应 的 请 求 节 点 组 播 地 址 ， 并 且 可 以 以 这 个 地 址 作为 目的 地 址 ， 来 封装 NS 消息 的 有 目 
的 TIPv6 地 址 。NDP 之 所 以 没有 考虑 使 用 链 路 本 地 所 有 节点 组 播 地 址 (FF02::1) 作为 
NS 的 目的 地 址 ， 是 因为 这 样 会 占用 其 他 设备 更 多 的 计算 资源 。 如 果 使 用 请 求 节 点 组 
播 地 址 作为 NS 消息 的 目的 地 址 , 那么 除非 链 路 本 地 有 其 他 设备 拥有 相同 的 后 24 位 接 
口 ID， 否 则 不 相关 设备 在 看 到 这 个 目的 IPv6 地 址 时 ， 就 不 会 进一步 处 理 这 个 NS 消 
息 。 而 后 24 位 接口 ID 其 实 就 是 后 24 位 MAC 地 址 ， 也 就 是 组 织 机 构 分 配给 这 个 网 络 
适配器 的 24 位 标识 符 。 读 者 可 以 想见 ， 本 地 链 路 中 出 现 相同 后 24 位 接口 ID 的 几率 
是 极 低 的 。 

在 图 7-14 中 ， 笔 记 本 电脑 希望 与 台式 机 通信 ， 因 此 需要 请 求 台式 机 的 链 路 层 地 址 。 
于 是 , 这 台 笔 记 本 电脑 以 自己 的 链 路 本 地 地 址 作为 源 地 址 , 以 台式 机 单 播 IPv6 地 址 所 对 
应 的 请 求 节点 组 播 地 址 作为 目的 地 址 ， 发 送 了 一 条 NDP 邻居 请 求 (NS) 消息 ， 请 求 台式 
机 向 自己 提供 它 ( 网 络 适配器 接口 ) 的 链 路 层 地 址 。 








Internet 


发 信人 : 2000::1 | 
| 收 信 人 : FF02:;:1:FF00:0002 
| 正文 : 
致 单 播 IPv6 地 址 是 2000: :2 的 设备 : 
您 好 , 我 的 MAC 地 址 是 00-94-CD-11 
-11-11。 如 收 到 这 圭 凶 件 ， 请 告知 我 
茧 的 MAC 地 址 。 | 








on 





IP 摄 像 关 。 ”影音 终端 。 ”台式 机 笔记 本 电脑 
图 7-14 一 台 IPv6 设备 发 送 NDP 邻居 请 求 消息 的 示意 


在 接收 到 NS 消息 之 后 ， 被 请 求 设 备 就 会 以 自己 的 单 播 IPv6 地 址 作为 源 地 址 ， 以 请 
求 设 备 的 单 播 IPv6 地 址 作为 目的 地 址 ， 封 装 一 个 单 播 的 邻居 通告 消息 CNA) ， 将 目 己 的 
MAC 地 址 提供 给 对 方 ， 如 图 7-15 所 示 。 

在 完成 上 面 的 流程 之 后 ， 笔 记 本 电脑 就 会 将 台式 机 的 MAC 地 址 与 它 的 IPv6 单 播 地 
址 之 间 的 对 应 关系 作为 一 个 条 目 填 充 到 IPv6 邻居 缓存 中 。 这 个 IPv6 邻居 组 存在 这 里 充 
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当 了 与 IPv4 中 ARP 表 类 似 的 角色 。 

总 之 ， 在 通信 模型 的 层面 ，NDP 邻居 请 求 (NS) 和 NDP 邻居 通告 (NA) 消息 与 我 们 
在 7.3. 1 节 中 介绍 的 NDP 路 由 器 请 求 (RS) 和 NDP 路 由 噩 通告 CRA) 消息 别 无 二 致 : 一 
台 设 备 希望 获 取 本 地 链 路 中 另 一 台 设 备 的 通告 消息 于 是 发 出 请 求 ， 被 请 求 设备 在 接收 到 
消息 之 后 通过 通告 消息 作出 响应 。 只 不 过 相对 于 RS/RA 而 言 ，NS/NA 所 请 求 和 通告 的 主 
体 变 成 了 本 地 链 路 上 的 任意 一 台 设 备 ， 而 不 只 是 路 由 器 ， 所 请 求 和 通告 的 对 象 也 由 本 地 
链 路 的 配置 信息 变 成 了 对 方 的 链 路 层 地 址 。 


Internet 





NDP 邻居 通告 消息 
发 信人 : 2000::2 


路 由 咒 ARL | 收 信人 : 2000::1 
正文 : 










5S 

PS 致 单 播 IPv6 地 址 是 了 000::1 的 设备 : 
您 好 ， 我 就 是 单 播 Pv6 地 址 为 2000::2 的 设备 。 关 于 您 之 
前 发 送 的 邻居 请 求 消息 ， 向 您 提供 我 的 MAC 地 址 : 
00-9A-CD-11-11-22。 yy 


1 2000::1] 





影音 终端 合式 机 笔记 本 电脑 
图 7-15 一 人 台 IPv6 设备 发 送 NDP 邻居 通告 消息 的 示意 


读者 读 到 这 里 也 许 想 问 ， 为 什么 NDP 不 直接 使 用 被 请 求 节 点 的 单 播 IPv6 地 址 作为 
目的 地 址 来 封装 邻居 请 求 消 息 呢 ? 实际 上 , 使 用 单 播 IPv6 地 址 封装 的 邻居 请 求 地 址 男 有 
用 途 , 当 IPv6 主机 使 用 被 请 求 节 点 单 播 IPv6 地 址 作为 邻居 请 求 消息 目的 IPv6 地 址 来 封 
装 邻 居 请 求 消息 时 ， 其 目的 是 验证 被 请 求 节点 是 否 仍然 可 达 。 

NDP 的 邻居 通告 消息 还 有 男 一 种 用 法 。 当 IPv6 节点 的 链 路 层 地 址 发 生变 化 时 ， 
IPv6 也 可 以 未 经 请 求 直 接 向 链 路 本 地 发 送 一 条 邻居 通告 消息 ， 向 本 地 链 路 中 的 其 他 
设备 通告 新 的 IPv6 单 播 地 址 与 链 路 本 地 地 址 之 间 的 对 应 关系 。 对 于 这 类 未 经 请 求 主 
动 发 送 的 NA 消息 , 因为 其 目的 是 通告 给 本 地 链 路 中 的 所 有 IPv6 设备 而 不 是 某 一 台 特 
定 设备 (发 送 邻 居 请 求 消息 ) ， 所 以 它 的 目的 地 址 就 是 链 路 本 地 所 有 节点 组 播 地 址 
(FF02::1) 。 

7.3.2 节 介 绍 了 IPv6 网 络 中 ， 设 备 如 何 通 过 NDP 协议 来 解析 链 路 本 地 其 他 设备 的 


ss 
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链 路 层 地 址 ， 同 时 介绍 了 NDP 邻居 请 求 和 邻居 通告 消息 的 一 些 其 他 用 法 与 相应 的 封装 
方式 。7. 3. 3 节 会 介绍 本 章 的 最 后 一 个 主题 ， 即 IPv6 网 络 中 无 状态 地 址 自动 配置 的 实 
现 方式 。 


7.3.3 无 状态 地 址 自动 配置 


IPv6 为 终端 设备 的 网 络 适 配器 接口 提供 了 两 种 地 址 自动 配置 的 方式 。 其 中 一 种 
方法 比较 容易 理解 ， 那 就 是 依赖 DHCPv6 服务 器 来 为 IPv6 地 址 的 请 求 方 分 配 地 址 ， 这 
种 方式 称 为 有 状态 地 址 自动 配置 ， 也 译 为 状态 化 地 址 自动 配置 (Stateful Address 
AutoConfiguration) 。 显 然 ， 这 种 方式 与 我 们 在 第 7 章 中 介绍 的 利用 DHCP 服务 器 为 
IPv4 主机 分 配 地 址 在 工作 方式 上 基本 一 致 ， 区 别 仅 在 于 DHCP 协议 与 DHCPv6 协议 所 
定义 的 细节 ， 但 DHCPv6 协议 的 内 容 超 出 了 本 书 的 范围 ， 因 此 这 种 方式 我 们 不 会 进行 
进一步 的 介绍 。 

除了 这 种 方式 之 外 ，IPv6 还 定义 了 一 种 不 依赖 任何 独立 的 服务 器 、 也 不 需要 专业 技 
术 人 员 参 与 操作 的 IPv6 地 址 目 动 配置 方式 , 这 种 方式 就 是 7. 3. 3 节 要 介绍 的 无 状态 地 址 
自动 配置 (Stateless Address Autoconfiguration，SLAAC) 。 

当 一 台 IPv6 设备 刚刚 连接 到 网 络 中 时 ， 它 会 按照 我 们 在 本 章 7. 3. 1 节 (NDP 协议 概 
述 ) 介绍 的 方式 发 送 路 由 器 请 求 (RS〉 消 恩 来 查询 网 络 中 是 否 存 在 路 曲 器 ， 并 且 要 求 网 
络 中 的 路 由 器 (如 有 ) 向 自己 发 送 路 由 器 通告 CRA) 消息。 在 图 7-13 所 示 的 RA 消息 中 ， 
人 RA 消息 告知 请 求 方 ,请 各 位 采用 有 状态 地 址 自动 配置 的 方式 配置 自 
己 的 IPv6 地 址 。 这 上 暗示 了 在 RA 消息 中 ， 会 有 专门 的 字段 来 通告 请 求 方 该 采用 哪 种 方式 
来 配置 自己 的 IPv6 oprah RA 消息 中 的 这 个 字段 实际 上 是 一 位 ， 称 为 M 位 。 如 果 RA 消息 
中 的 XM 位 置 位 ,表示 路 由 器 指示 本 地 链 路 中 的 设备 通过 DHCPv6 协议 动态 配置 IPv6 地 址 ; 
如 果 M 位 不 置 位 , 则 表示 路 由 器 指示 本 地 链 路 中 的 设备 通过 SLAAC 来 配置 IPv6 地 址 。 在 
M 位 不 置 位 的 情况 下 ，RA 消 ee 
64 位 前 级 。 

在 图 7-16 中 ， 网 网 连接 到 网 络 中 的 笔记 本 电脑 以 未 指定 地 址 作为 RS 消息 的 源 IP 
地 址 ， 在 网 络 中 发 送 了 组 播 网 .RS 消 妃 。 而 路 由 噩 在 接收 到 这 个 消息 之 后 ， 通 过 图 中 所 示 
的 RA 消息 作出 了 响应 。 在 这 个 消息 中 ，RA 消息 指示 链 路 本 地 主机 采用 SLAAC 的 方式 配 
置 IPv6 地 址 ， 并 且 在 配置 时 以 2000::/64 作为 前 级 。 

在 通过 RA 消息 了 解 到 链 路 本 地 的 64 位 前 绥 之 后 ，IPv6 设备 可 以 通过 下 面 两 种 方式 
补 全 IPv6 地 址 的 后 64 位 ， 并 目 动 配置 目 己 的 IPv6 地 址 。 

。 采用 链 路 本 地 地 址 的 最 后 64 位 进行 配置 , 即 反 转 适配器 接口 的 MAC 地 址 EUI-64 

标识 符 的 第 7 位 。 

e 操作 系统 随机 生成 最 后 64 位 。 
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NDP 路 由 器 通告 消息 
发 信人 : FE80::029A:CDFF:FE22:1111 
收 信人 : FF02::1 


路 由 器 ARl1 | 正文 : 







|。 开 甸 路 林地 所 有 接口: 
0900 大 家 好 ， 我 是 这 条 链 路 中 的 路 由 器 (网卡 接口 ，。 本 链 路 
, ” 没有 指定 跳 数 限制 。 请 各 位 采用 无 状态 地 址 自动 配置 的 方 


式 配 置 自己 的 IPy6 地 址 。 在 执行 无 状态 地 址 自动 配置 时 ， 
请 以 2000::/64 作为 您 的 前 级 。 我 的 MAC 地 址 为 
00-9A-CD-22-11-11。 本 链 路 的 最 大 数据 单元 为 1500 字 节 。 


ee a 


2000::FFFF 








影音 终端 台式 机 笔记 本 电脑 
图 7-16 一 台 路 由 器 通过 RA 消息 向 请 求 方 提供 前 级 的 示意 
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目前 ， 在 SLAAC 的 实际 运用 中 ， 系 统 随机 生成 最 后 64 位 的 做 法 更 为 常见 。 然 而 ， 
系统 自动 生成 最 后 64 位 存在 一 个 问题 。 那 就 是 设备 如 何 保证 网 络 中 没有 其 他 设备 在 执行 
SLAAC 时 ， 系 统 碰巧 也 随机 生成 了 相同 的 数值 ? 这 也 就 是 说 ,设备 需要 一 种 IPv6 重复 地 
址 检测 机 制 来 确保 SLAAC 的 IPv6 地 址 不 会 与 当前 其 他 网 络 适配器 接口 配置 的 IPv6 地 址 
出 现 冲 突 。 为 了 达到 这 个 目的 ， 主机 在 使 用 路 由 器 提供 的 前 级 生成 了 IPv6 地 址 之 后 , 会 
_ 在 网 络 中 发 送 一 个 NS 消息 来 请 求 该 IPv6 地 址 对 应 的 链 路 层 地 址 。 当 设备 通过 发 送 NS 
消息 来 执行 重复 地 址 检测 时 ， 它 会 以 未 指定 地 址 (而 不 是 那个 刚刚 生成 ， 尚 无 法 确定 是 
否 重 复 的 IPv6 地 址 ) 作为 这 个 NS 消息 的 源 地 址 。 而 这 个 NS 消息 的 目的 IPv6 地 址 ， 是 


这 个 目 动 生成 的 IPv6 单 播 地 址 所 对 应 的 请 求 节点 组 播 地 址 ， 如 图 7-17 所 示 。 
在 图 7-17 中 ， 笔 记 本 电脑 按照 路 由 器 提供 的 前 级 ， 生 成 了 IPv6 地 址 2000: :1。 接 
下 来 ， 它 封装 了 一 个 以 这 个 单 播 IPv6 地 址 对 应 的 请 求 节点 组 播 地 址 (FF02: :1:FF00: 


0001) 作为 目的 地 址 ， 以 未 指定 地 址 作为 源 地 址 的 NS 消息 ， 并 且 将 这 个 消息 发 送 到 了 本 
地 链 路 上 。 如 果 这 个 消 县 得 到 了 啊 应 ， 说 明 网 络 中 已 经 有 其 他 设备 在 使 用 2000: :1 这 个 


-地址 了 ， 此 时 笔记 本 电脑 惑 会 重新 生成 一 个 IPv6 地 址 并 且 再 次 封装 NS 消息 执行 重复 地 


址 检测 。 如 果 这 个 消息 没有 得 到 响应 ， 说 明 网 络 中 目前 没有 设备 在 使 用 这 个 IPv6 地 址 ， 
于 是 笔记 本 电脑 束 会 开始 真正 使 用 这 个 IPv6 地 址 。 

在 上 文中 ， 我 们 介绍 了 设备 执行 SLAAC 的 过 程 。 读 者 应 该 可 以 发 现 ， 这 个 过 程 不 需 
要 专业 技术 人 员 的 干预 ,也 没有 DHCP 服务 器 的 参与 , 设备 就 可 以 自行 完成 配置 。 换 句 话 
说 ， 这 种 机 制 为 IPv6 网 络 提 供 了 即 插 即 用 功能 。 
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NDP 骂 居 请 求 消息 

发 信人 : 

收 信人 : FF02::1:FF00:0001 
正文: 


致 单 播 IPv6 地 址 是 2000::1 的 设备 : 
您 好 ， 如 收 到 这 封 邮件 ， 请 告知 我 您 的 MAC 地址 。 
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“7.4 | 本 章 总 结 


本 章 介 绍 了 大 量 与 IPv6 相关 的 基本 理论 。7. 1 节 首 先 通过 IETF 试图 对 IPv4 所 作 的 
改进 , 引出 了 IPv6 相对 于 IPv4 的 几 点 主要 优势 ; 接 下 来 , 介绍 了 IPv6 的 头 部 封装 结构 ， 
并 将 IPv6 的 头 部 封装 结构 与 IPv4 的 头 部 封装 进行 了 对 比 ;最 后 介绍 了 长 达 128 位 的 IPv6 
地 址 是 如 何 编 址 的 。 

7.2 节 的 内 容 与 IPv6 地 址 的 分 类 有 关 。 在 7. 2 节 中 ， 我 们 分 单 播 地 址 、 任 意 播 地 址 
和 组 播 地 址 对 各 类 IPv6 地 址 的 范围 、 结 构 和 用 途 分 别 进行 了 介绍 。7. 2 节 的 重点 在 于 
IPv6 单 播 地 址 ， 因 此 单 播 地 址 占用 篇 幅 较 长 ， 单 播 地 址 这 一 市 对 包括 链 路 本 地 地 址 、 唯 
一 本 地 地 址 、 站 点 本 地 地 址 、 全 局 单 播 地 址 、 wep 
解释 说 明 。 后 面 的 两 节 分 别 对 任意 播 的 作用 与 概念 、 一 些 常 用 IPv6 组 播 地 址 进行 了 介 

本 章 的 7. 3 节 涉 及 大 量 NDP 协议 ; 7. 3 节 介 绍 了 NDP 在 IPv6 网 络 中 ote 
式 ， 解 释 了 5 种 不 同 的 NDP 消息 ， 以 及 IPv6 网 络 借助 不 同类 型 NDP 消息 实现 地 址 解析 、 
邻居 可 达 性 验证 、 地 址 自动 配置 、 地 址 冲突 检测 等 功能 的 方式 。 
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7.5 练习 题 - 


一 、 选 择 题 


有 
功能 ? 
A. 
2 
A. 
$. 


如 果 不 考 虑 扩展 头 部 ， 那 么 IPv6 头 部 中 不 再 提供 IPv4 头 部 中 下 列 哪些 字段 的 
(多 选 ) ( ) 

分 片 相 关 字段 。””B. 校 验 和 字段 C.， 长 度 相关 字段 D. 生存 时 间 字 段 
二 进 制 数 100010010001111110101 对 应 的 十 六 进 制 数 为 下 面 哪 一 个 ? ( ) 
0x1123F5 B. Ox5F3211 C. Ox891FAl D. OxlAF198 

如 果 管 理 员 希望 在 网 络 中 配置 一 个 私有 网 络 范围 内 有 效 ， 但 不 是 全 局 可 路 由 的 


IPv6 地 址 ， 应 该 配置 下 列 哪 种 IPv6 地 址 ? ( ) 


A. 
4. 


站 点 本 地 地 址 B. 唯一 本 地 地 址 C. 全 局 单 播 地 址 D. 链 路 本 地 地 址 
当 设 备 的 网 络 适 配 费 接口 局 用 IPv6 时 ， cine 己 目 动 配置 下 列 哪 种 单 揪 


IPv6 地 址 ? ( ) 


2 2 


.站 点 本 地 地 址 。”B。 唯一 本 地 地 址 C. 全 局 单 播 地 址 。”“”D. 链 路 本 地 地 址 
.关于 第 一 个 十 六 进 制 数 为 F 的 IPv6 地 址 ， 下 列 说 法 错误 的 是 ? (  ) 

.这 个 IPv6 地 址 有 可 能 是 链 路 本 地 地 址 

， 这 个 IPv6 地 址 有 可 能 是 唯一 本 地 地 址 

.这 个 IPv6 地 址 有 可 能 是 全 局 单 播 地 址 

.这 个 IPv6 地 址 有 可 能 是 组 播 地 址 

，NDP 可 以 提供 下 列 哪些 服务 ? (多 选 ) ( 。 ) 


.邻居 设备 地 址 解析 B. 重复 地 址 检测 

.邻居 可 达 性 验证 D. 无 状态 地 址 自动 配置 

. IPv6 接口 在 执行 重复 地 址 检测 时 , 一定 会 涉及 下 面 哪 种 类 型 的 NDP 消息 ? ( ) 
.RS 消息 B. RA 消息 C. NS 消息 D. NA 消息 

、 判 断 题 


， 链 路 本 地 地 址 也 有 对 应 的 请 求 节点 组 播 地 址 。 
，NDP 消息 都 是 使 用 ICMPv6 协议 进行 封装 的 。 
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8.1 1IPv6 静 态 路 由 的 配置 
8.2 ”RIPng 的 配置 
8.3 ”OSPFv3 的 配置 
8.4 ”本 章 总 结 
8.5 练习 题 





在 第 7 章 中 ， 我 们 学 习 了 与 IPv6 编 址 相关 的 知识 ， 了 解 了 IPv6 的 地 址 结构 和 
IPv6 数据 包头 部 的 封装 结构 。 在 本 章 中 ， 我 们 会 结合 第 7 章 的 内 容 ， 介 绍 IPv6 环境 
中 的 路 由 。 

鉴于 IPv6 直 连 路 由 在 逻辑 上 与 IPv4 的 直 连 路 由 别 无 二 致 , 当 管 理 员 在 路 由 器 接 
口上 配置 了 IPv6 地 址 后 ， 这 个 接口 的 直 连 路 由 就 会 被 放 入 到 IPv6; 路 由 表 中 。 因 此 ， 
本 章 不 会 单独 介绍 直 连 路 由 ， 而 是 把 它 归 到 静态 路 由 中 进行 说 明 。 此 外 ， 在 本 章 的 
8. 1 节 中 ， 我 们 要 对 IPv6 静态 路 由 进行 介绍 ， 而 静态 路 由 并 不 是 路 由 协议 ， 只 是 管 
理 员 手动 添加 到 路 由 表 中 的 路 由 条 目 , 因此 IPv6 静态 路 由 与 IPv4 静态 路 由 在 原理 上 
并 没有 任何 区 别 。 所 以 ，8. 1 节 并 没有 原理 部 分 的 说 明 ， 我 们 会 直接 开始 演示 IPv6 
静态 路 由 的 配置 。 

IPv6 环境 中 当然 也 可 以 使 用 动态 路 由 协议 。 在 本 章 中 , 我 们 会 介绍 两 种 适用 于 IPv6 
环境 的 动态 路 由 协议 : RIPng 和 0SPFv3。 这 两 个 协议 分 别 源 自 于 RIPv2 和 0SPFv2， 它 们 
与 RIPv2 和 0SPFv2 既 有 相同 的 地 方 , 又 有 为 了 适应 ITPv6 向 做 的 更 改 。 本 章 8.2 节 和 8.3 
节 的 组 织 结构 都 是 先 对 两 种 协议 进行 对 比 ， 再 通过 案例 展示 如 何在 华为 路 由 器 上 进行 配 
署 和 验证 。 

对 于 0SPF 这 个 相对 复杂 的 协议 ， 我 们 在 华为 ICT 学 院 路 由 交换 技术 系列 教材 《路 
由 与 交换 技术 》 中 用 三 章 的 篇 幅 进行 过 介绍 和 实验 演示 , 但 0SPFv3 在 本 书 中 只 占用 了 一 
节 的 篇 幅 。 这 并 不 代表 0SPFv3 比 0SPFv2 简单 ， 而 是 我 们 考虑 到 读者 已 经 拥有 了 0SPFv2 
的 基础 ， 于 是 在 这 里 侧重 于 通过 对 比 两 种 协议 的 异同 来 展示 0SPFv3 的 特点 。 对 于 RIPv2 
和 0SPFv2 感到 陌生 的 读者 ,如果 希望 获得 比较 良好 的 阅读 体验 , 不 妨 在 学 习 本 章 之 前 复 
习 《 路 由 与 交换 技术 》 中 这 两 种 动态 路 由 协议 所 对 应 的 内 容 。 
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。 掌握 如 何在 接口 配置 IPv6 地 址 ; 

i 。 等 握 如 何 配 置 [Pv6 静态 路 由 ; 

: 。 掌握 如 何 部 署 及 IPng 以 及 如 何 验证 及 IPng 路 由 ; 

we 掌握 如 何 部 署 OSPFv3 以 及 如 何 验证 OSPFv3 邻居 状态 和 路 由 。 


和 
EL 


8.1 IPv6 静态 路 由 的 配置 


在 华为 ICT 学 院 路 由 交换 技术 系列 教材 《路 由 与 交换 技术 》 第 4 章 中 ， 我 们 曾经 介 
绍 过 路 由 器 获得 路 由 信息 的 三 种 来 源 : 直 连 路 由 、 静 态 路 由 和 动态 路 由 。 这 一 点 对 于 IPv4 
网 络 来 说 如 此 ， 对 于 IPv6 网 络 来 说 亦 是 如 此 。8. 1 节 会 介绍 如 何在 华为 路 由 器 上 全 局 启 
用 IPv6 协议 ， 如 何在 接口 启用 IPv6 路 由 ， 以 及 如 何 静 态 配置 IPv6 路 由 。 

在 配置 IPv6 静态 路 由 时 ， 管 理 员 的 配置 思路 与 配置 IPv4 静态 路 由 相同 ， 只 是 使 用 
的 配置 命 仿 有 些许 人 不同。 当然 , 需要 管理 员 输 入 路 由 信息 部 分 也 会 由 IPv4 网 络 地 址 变 为 
[IPv6 网 络 地 址 。 


8.1.1 1IPv6 静态 路 由 的 配置 
在 8.1.1 市 中 ,我 们 会 使 用 图 8-1 所 示 环 境 来 展示 IPv6 的 静态 路 由 配置 。 如 图 8-1 
所 示 ，AR1、AR2 和 AR3 上 分 别 启 用 了 IPv6 路 由 功能 ，AR1 与 AR2 通过 各 自 的 60/0/0 接 


口 相连 ,使 用 的 IPv6 子 网 是 唯一 本 地 单 播 地 址 FD12::/64;AR1l 与 AR3 通过 各 自 的 60/0/1 
接口 相连 ， 使 用 的 IPv6 子 网 地 址 是 FD13: :/64。 


ARI] 


GO/O/O GUO/O/ 1 
/ FD13::1/64 


\ 






FD12::2/64 FD13::3/64 


GO/O/] 






AR2 AR3 
图 8-1 IPvy6 静态 路 由 的 配置 拓扑 


要 想 让 华为 路 由 器 提供 IPv6 路 由 ， 首 先 要 在 路 由 器 全 局 使 用 系统 视图 命令 ipv6 


一 237 一 
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来 启用 IPv6 功能 。 例 8-1 所 示 为 管理 员 使 用 命令 ipv6 在 AR1、AR2 和 AR3 上 启用 IPv6 
功能 。 

例 8-1 在 三 台 路 由 器 上 启用 IPv6 功能 

LAR1]ipv6 

[AR2 | ipv6 

[AR3]ipv6 

在 还 没有 开始 配置 每 台 路 由 器 接口 的 IPv6 地 址 前 ,我 们 先 来 看 看 在 全 局 启用 了 IPv6 - 
协议 后 , 路 由 器 中 默认 的 IPv6 路 由 信息 。 例 8-2 展示 了 AR1 启用 了 IPv6 后 的 路 由 信息 。 

例 8-2 AR1 启用 了 1IPv6 后 的 1Pv6 路 由 信息 

[ARlldisplay ipv6 routing-table 

Routing Table : Public 


Destinations : 1 Routes : 1 


Destwination 3":1 PrefixLength : 128 

NextHop “ Preference :0 . 
Cost 汪 才 Protocol : Direct 
RelayNextHop : :: TunnelID : Ox0 
Interface : InLoopBack0 Flags ; 二 


在 例 8-2- 中 , 我 们 使 用 了 命令 display ipv6 routing-table 来 查看 路 由 器 上 的 IPv6 
路 由 表 。 读 者 不 难 发 现 ， 这 条 命令 与 查看 IPv4 路 由 表 的 命令 十 分 类 似 ， 只 是 要 把 关键 字 
“ip” 替 换 为 关键 字 “ipv6”。 在 很 多 IPv6 的 配置 命令 中 , 命令 的 句法 都 是 把 关键 字 “ip” 
锭 换 为 关键 字 “ipv6” : 

接 下 来 ， 我 们 按照 图 8-1 中 标注 的 1Pv6 地 址 ， 在 三 台 路 由 器 的 接口 上 进行 配置 ， 
配置 命令 见 例 8-3。 

例 8-3 在 三 台 路 由 器 上 配置 接口 IPv6 地 址 

[ARl |interface gigabitethernet 0/0/0 

[AR1-GigabitEthernet0/0/0] ipv6 enable 和 

[AR1-GigabitEthernet0/0/0]ipv6 address fdl2::1 64 

[AR1-GigabitEthernet0/0/0]quit 

[AR1] interface her 0/0/1 

[AR1-GigabitEthernet0/0/1]ipv6 enable 

[AR1-GigabitEthernet0/0/1]ipv6 address fd13::1 64 

[AR2] interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0/X0X0]ipv6 enable 

[AR2-GigabitEthernet0/070] ipv6 address fdl2::2 64 

[AR3jinterface gigabitethernet 0/0/1 

[AR3-GigabitEthernet0/0/1]ipv6 enable 

[AR3-GigabitEthernet0/0/1]ipv6 address fdl3::3 64 


or 
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在 接口 上 配置 IPv6 地 址 前 ， 管 理 员 首 先 需 要 使 用 接口 视图 命令 ipv6 enable 局 用 
IPv6 功能 , 否则 路 由 器 就 无 法 识别 配置 IPv6 地 址 的 命令 。 此 外 , 在 接口 视图 下 配置 IPv6 
地 址 的 命令 也 与 配置 IPv4 地 址 类 似 ， 只 需 把 关键 字 “ip” 蔡 换 为 关键 字 “ipv6”。 例 
8-4 为 我 们 配置 完成 接口 IPv6 地 址 之 后 ， 再 次 查看 AR1 IPv6 路 由 表 时 的 输出 信息 。 

例 8-4 查看 AR1 的 IPv6 路 由 表 (IPv6 直 连 路 由 ) 


AR1ijdisplay ipv6 routing-table 


Routing Table : Public 


Destinations : 6 Routes : 6 
- 嘻 

Destination A PrefixLength : 128 

NextHop | 和 Preference -2 
-Cost 0 Protocol Direct 

RelayNextHop :; :: TunnelID 0x0 

Interface : InLoopBack0 Flags “入 

Beginatidn 4 FD12:: PrefixLength : 64 

NextHop 3 FVII: 31 Preference 0 

Cost : 0 Protocol : Direct 

RelayNextHop : :: Tunne1lID : 0x0 

0 : GigabitEthernet0/0/0 Flags 2 

n 

Destination : FDl12::] PrefixLength : 128 

NextHop 2 Preference = 内 

Cost :9 Protocol Direct 

RelayNextHop : :: TunnelID 0x0 

Interface : GigabitEthernet0/0/0 Flags :bD 

Destination : FDl13:: PrefixLength : 64 

NextHop 1 全 < 和 | Preference :0 

Cost 4 和 Protocol ; Dumpewt 

RelayNextHop : :: Tunnel ID : Ox0 

Interface : GigabitEthernet0/0/1 Flags ; 0 

Destination *: FD13::1 PrefixLength : 128 

NextHop et Preference :0 

Cost : 0 Protocol : Direct 

RelayNextHop : :: TunnelID Ox0 

Interface : GigabitEthernet0/0/1 Flags 2 
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Destination | : FE80:: PrefixLength : 10 

NextHop hk Preference :0 

Cost 二 Protocol : Direct 

RelayNextHop : :: TunnelID : 0x0 

Interface ~ : NULLO Flags :D 

例 8-4 展示 了 AR1 上 的 6 条 IPv6 路 由 信息 ， 第 1 条 是 IPv6 环 回 地 址 ， 第 2 一 5 条 
是 AR1 的 直 连 路 由 ， 我 们 重点 看 最 后 一 条 路 由 《阴影 ) : 这 条 路 由 的 目的 地 是 FE80: :， 


前 缀 长 度 是 10。 通 过 第 7 章 的 学 习 ， 读 者 应 该 能 够 判断 出 ， 这 是 IPv6 链 路 本 地 地 址 的 
前 级 。 当 管理 员 在 路 由 器 接口 上 启用 了 IPv6 路 由 并 配置 了 IPv6 地 址 后 ， 路 由 器 会 自动 
为 这 个 接口 生成 链 路 本 地 地 址 ， 例 8-5 展示 了 AR1 接口 G60/070 的 链 路 本 地 地 址 。 
例 8-5 AR1 接口 G0/0/0 的 链 路 本 地 地 址 
[AR1jdisplay ipv6 interface g0/0/0 
GigabitEthernet0/0/0 _ current state : UP 
TIPv6 protocol current state : UP 
IPv6 is enabled, link-local address is FE80::2E0:FCFF:FEF0:7E40 
Global unicast address(es) : 
FD12::1, subnet is FD12::V64 
Joined group address(es) : 
FF02: :1:FFO0:1 \ 
FFO2:5:2 
FFO2::1 
FFO2: :1:FFFO:7E40 
MIU is 1500 bytes 
ND DAD is enabled, number of DAD tattempts: 1 
ND reachable time is 30000 milliseconds 


i= 


ND retransmit interval is 1000 milliseconds 

Hosts use stateless autoconfig for addresses 、 
[AR1jdisplay interface g0/0/0 吕 
GigabitEthernet0/0/0 current state : UP 
Line protocol current stabe. : DOWN 
Description:HUAWEI, AR Series, GigabitEthernet0/0/0 Interface 

”Route Port, The Maximum Transmit Unit is 1500 

Internet protocol processing : disabled 
IP Sending Frames” Format is PKTFMT ETHNT 2, Hardware address is 00e0-fef0-7e40 
Last physical up time  : 2017-04-26 17:41:26 UTC-08:00 
Last physical down time : 2017-04-26 17:40:43 UTC-08:00 
Current System time: 2017-04-27 01:52:59-08:00 
Port Mode: FORCE COPPER 
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Speed : 1000, 
Duplex: FULL, 
Mdi : AUTO 
Last 300 seconds input rate 0 bits/sec, 0 packets/sec 


Loopback: NONE 
Negotiation: ENABLE 


Last 300 seconds output rate 0 bits/sec, 0 packets/sec 
Input peak rate 7424 bits/sec, Record time: 2017-04-27 00:05:38 
Output peak rate 7544 bits/sec, Record time: 2017-04-27 00:05:38 


Input: 61 packets, 5846 bytes 


Unicast: 54, Multicast: 7- 
”Broadcast : 0， Jumbo: 0 
Discard: 多 Total Error: 0 
4 
CRC: 0, Giants: 0 
Jabbers: 0, Throttles: 0 
Runts: 0, Symbols: 0 
Erode 0， Frames: 0 
Qutput: 63 packets, 5922 bytes 
Unicast: 53， Multicast: 10 
Broadcast: % ' 0， Jumbo: 0 
Discard*、 0, Total Error: 0 
Collisions: 0, ExcessiveCollisions: 0 
Late Collisiens: 0, Deferreds: 0 
Input bandwidth utilization threshold : 100. 00% 


0utput bandwidth utilization threshold: 100. 00% 


Input bandwidth utilization : 0% 
OQutput bandwidth utilization : 0% 
在 例 8-5 中 ， 我 们 可 以 通过 命令 display ipv6 interface g0/0/0 看 到 AR1 接 


口 60/0/0 的 IPv6 链 路 本 地 地 址 是 FE80: :2E0:FCFF:FEF0:7E40, 这 个 地 址 是 AR1 自 
动 生 成 的 。 接 着 我 们 可 以 通过 命令 display interface g0/0/0 的 输出 信息 看 到 AR1 接 
口 60X070 的 MAC 地 址 为 00e0-fcf0-7e40。 此 时 ， 读 者 如 果 将 链 路 本 地 地 址 的 生成 方 
法 套用 到 本 例 中 ， 那 么 AR1 接口 60/0/0 链 路 本 地 地 址 接口 ID 的 生成 过 程 如 图 8-2 
所 示 。 
在 接口 上 配置 了 IPv6 地 址 后 ， 路 由 器 就 会 

其 放 入 IPv6 路 由 表 中 。 接 下 来 , 我 们 可 以 通过 命 < 
测试 结果 见 例 8-6。 


目 动 生成 这 个 接口 直 连 的 IPv6 路 由 并 将 
令 ping ipv6 来 测试 直 连 链 路 的 连通 性 ， 
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OUI 





接口 MAC 地 址 (MAC-48): 00-EO-FC | FO0-7E-40 


接口 MAC 地 址 EUI-64 标识 符 : 


接口 的 链 路 本 地 地 址 接口 ID; 
图 8-2 使 用 G0/070 接口 MAC 地 址 获得 链 路 本 地 地 址 接口 ID 的 计算 过 程 


例 8-6 在 AR1 上 测试 与 AR2 的 连通 性 
[ARl |ping ipv6 fd12::2 
PING-fd12::2 .: 56 data bytes, press CTRL C to Break ls 

Reply from FD12::2 
bytes=56 Sequence=l hop limit=64 time = 50 ms 
Reply from FD12: :2 
bytes=56 Sequence=2 hop limit=64 time = 20 ms '\ 
oni from FD12: :2 让 * 
bytes=56 Sequence=3 hop limit=64 time = 20 ms 
Reply from Dleas :2 
bytes=56 Sequence=4 hop limit=64 time = 40 ms 
Reply froi FD12::2 许 
bytes=56 Sequence=5 hop limit=64 time = 30 ms 


rmt Da tat 


-ee 


5 packet (s) transmitted 
5 packet(s) received 各 
0. 00% packet loss 
round-trip min/avg/m = 20/32/50 ms 
从 例 8-6 的 命令 测试 输出 中 我 们 可 以 看 出 ，AR1 现在 已 经 能 够 与 AR2 进行 通信 了 。 
在 两 台 路 由 器 建立 通信 后 ， 它 们 会 通过 NDP 来 检测 邻居 的 状态 。 管 理 员 可 以 使 用 命令 
display ipv6 neighbors 来 查看 IPv6 邻居 ， 例 8-7 展示 了 这 条 命令 的 输出 信息 。 
例 8-7 查看 AR1 的 1IPv6 邻居 
[AR1jdisplay ipv6 neighbors 


一 一 一 一 一 一 一 一 一 一 一 -一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 


IPv6 Address : FD12::2 
Link-layer : 00e0-fc45-7661 State : REACH 


— 242 一 


Interface : GEQ0/0/0 
VLAN i 

VPN name 

Secure FLAG : UN-SECURE 


IPv6 Address : FE80::2E0:FCFF:FE45:766] 


Link-layer  : 00e0-fc45-7661 
Interface : GEQ0/0/0 

VLAN 天 

VPN name 

Secure FLAG : UN-SECURE 


从 





Total:-2 Dynamic: 2 Static: 0 
从 例 8-7 所 示 命 令 的 输出 信息 中 我 们 可 以 看 到 , 当前 ARL 上 已 经 有 了 关于 AR2 的 IPv6 
邻居 记录 ， 但 还 没有 AR3 的 邻居 记录 。 接 下 来 ， 县 们 在 AR1 上 尝试 对 AR3 接口 60/0/1 
的 IPv6 地 址 发 起 ping 测试 ， 测 试 的 结果 见 例 8-8。 
例 8-8 从 AR1 对 AR3 发 起 ping 测试 


[AR1]jping ipv6 fd13::3 


Age.. ~"t: 0 
CEVLAN: — 
Is Router: TRUE 


State : REACH 
Age :用 
CEWAN:; 一 


ls Router: TRUE 


PING fdl8::3 : ‘56 data bytes, press CTRL C to break 


Reply from FDl13::3 
bytes=56 Sequence=l hop limit=64 
Reply from FD13::3 
bytes=56 Sequence=2 hop limit=64 
Reply from FD13::3 
bytes=56 Sequence=3 hop limit=64 
Reply from FD13::3 
bytes=56 Sequence=4 hop limit=64 
Reply from FD13::3 
bytes=56 Sequence=5 hop limit=64 


w= fdlos 0 pir /Statisti 一 一 一 
一 一 5 packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 


time 


time 


time 


time 


time 


round-trip min/avg/max = 50/122/400 ms 
如 上 例 的 输出 信息 所 示 , 目前 AR1 与 AR3 之 间 的 直 连 连接 已 经 能 够 正常 通信 。 接着 ， 
我 们 再 来 查看 一 下 ARl1 上 的 IPv6 邻居 状态 , 例 8-9 展示 了 此 次 查看 邻居 信息 时 AR1 输出 


的 络 琳 。 


400 ms 


50 ms 


50 ms 


50 ms 


60 ms 
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一 一 一 一 -一 -一 一 一 一 一 -- 一 -一 一 一 --- 一 rh 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
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例 8-9 再 次 查看 AR1 的 IPv6 邻居 


[AR1jdisplay ipv6 neighbors 


一 一 一 一 一 一 一 一 一 一 一 


IPv6 Address 
Link-layer 
Interface 
VLAN 

VPN name 
Secure FLAG: 


TIPv6 Address 
Link 一 Layer 
Interface 
VLAN 

VPN name 
Secure FLAG 


IPv6 Address 
Link-layer 
Interface 
VLAN 

VPN name 
Secure FLAG 





"| 
: 00e0-fc45-7661 
: GE0Z07Z0 


: UN-SECURE 


: FE80: :2E0:FCFF:FE45:7661 


: 00e0-fc45-7661 
: GEQ/0/0 


; UN-SECURE 


*: FDIS 
: 00e0-fcfa-02c6 
: GE0/0/1 


: UN-SECURE 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


State : STALE 
Age “sp 
CEVLAN: — 

ls Router: TRUE 


State : STALE 
Age ~ < 1 
CEVLAN: — 


Is Router: TRUE 


State : REACH 
Age 0 
CEVLAN; — 

Is Router: TRUE 


TIPv6 Address : FE80::2E0:FCFF:FEFA:2C6 


Link~layer : 00e0-fcfa-02c6 State :了 EACH 
Interface :GE070ZI Age: 1 0 
VLAN 2 YCEVLAN: - 
VPN name , 守 s Router: TRUE 
Secure FLAG : UN-SECURE 

Fa 
Total: 4 Dynamic: 4 Static: 0 


从 例 8-9 的 输出 信息 中 可 以 看 出 ，AR1 上 现在 已 经 有 了 AR3 这 个 IPv6 邻居 。 

要 想 让 AR2 能 够 与 AR3 进行 通信 ， 我 们 需要 在 AR2 和 AR3 上 配置 静态 IPv6 路 由 。 
在 配置 路 由 之 前 ， 我 们 不 妨 先 来 符 看 一 下 AR2 上 的 IPv6 路 由 表 ， 见 例 8-10。 

例 8-10 ”查看 AR2 的 IPv6 路 由 表 ( 直 连 路 由 ) 


[AR2jdisplay ipv6 routing-table 
Routing Table : Public 


一 244 一 


从 路 由 表 中 Protocol 一 项 我 们 可 以 看 出 ， 
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Destinations : 4 Routes : 4 

Destination lk PrefixLength : 128 
NextHop -3 ‘Preference :0 
Cost :0 Protocol : Direct 
RelayNextHop : :: TunnelID : Ox0 
Interface : lInLoopBack0 Flags = 
Destination : FDl12:;: Prefi¥length :764 
NextHop 这 六 Preference :0. 
Cost :0 : Protocol : Direct 
RelayNextHop : :: 全 TunnelID. 0x0 
Interface 。 GigabitEthernet#0/0/0 Flags D 
Destination :; FD12::2 PrefixLength : 128 
NextHop x Preference 0 
Cost :0 Protocol Direct 
RelayNextHop : :: TunnelID : Ox0 
Interface : GigabitEthernet0/0/0 Flags | 
Destination 了 FE801: : PrefixLength :- 10 
NextHop  、 和 w Preference 0 
Cost 机 : Protocol : Direct 
RelayNextHop : :: TunnelID : 0x0 

~ 、 Interface : NULLO Flags 加) 


当前 AR2 上 的 4 条 IPv6 路 由 都 是 直 连 


(Direct) 路 由 ， 并 且 没 有 去 往 AR3 接口 60/0/1 IPv6 网 段 FD13: :/64 的 路 由 。 下 面 ， 我 
们 分 别 在 AR2 和 AR3 上 配置 了 两 条 IPv6 路 由 ， 例 8-11 所 示 为 相关 的 配置 命令 。 

例 8-11 在 AR2 和 AR3 上 配置 静态 IPv6 路 由 

[AR2]j ipv6 route-static fdl3:: 64 fdl2::]1 

[AR3]ipv6 route-static fdl2:: 64 fdl3::1 

如 例 8-11 所 示 ， 管 理 员 需要 使 用 系统 视图 命令 
address prefix-/length linterface-type interftace-number [nexthop-ipv6-address| 
Dextipop-Ipr6-adaress} 来 配置 衣 态 IPv6 路 由 。 读者 应 该 还 能 够 记得 , 我 们 曾经 在 本 系 
列 教材 《路 由 与 交换 技术 》 第 4 章 〈 静 态 路 由 ) 中 介绍 过 : 在 以 太 网 链 路 上 配置 静态 路 
由 时 ， 下 一 跳 参 数 中 必须 包含 IP 地 址 。 而 在 点 到 点 串 行 链 路 上 配置 静态 路 由 时 ， 可 以 只 
使 用 IP 地 址 ， 也 可 以 只 使 用 出 接口 作为 下 一 跳 参 数 。 对 于 IPv6 静态 路 由 的 配置 ， 这 些 
内 容 同样 适用 。 在 本 例 中 ,我 们 只 配置 了 下 一 跳 IPv6 地 址 信息 。 静 态 路 由 条 目 配置 完毕 


ipv6 route-static dest-ipv6— 
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之 后 ， 我 们 再 次 查看 AR2 的 IPv6 路 由 表 ， 此 时 的 输出 信息 见 例 8-12。 
例 8-12 再 次 查看 AR2 的 IPv6 路 由 表 
[AR2]display ipv6 routing-table 
Routing Table : Public 


Destinatyons ww sg "Routes 7 


Destination” me] PrefixLength : 128 


NextHop A Preferencé :0 

Cost 0 Protocol : Direct 
RelayNextHop : :: TunnelID 0x0 
Interface : InLoopBack0 Flags D 
Destination : FDIl2:: PrefixLength : 64 
NextHop 2 Preference :0 

Cost 0 Protocol : Direct 
RelayNextHop : :: TunnelID Op 
Interface : GigabitEthernet0/0/0 “Flags D 
Destination” 1 RDI2::2 PrefixLength .128 \ 
NextHop Ral | Prefererice : 0 \ 
Cost 0 Protocol : Direct 
RelayNextHop : :: TunnelID -Dx 
Interface Flags > 


: GigabitEthernet0/0/0 





Destination “: FE80:;: 


PrefixLength : 10 


NextHop Preference :0 

Cost cn | Protocol : Direct 
RelayNextHop TunnellD : Ox0 
Interface : NULLO Flags > 


从 例 8-12 命令 输出 信息 的 阴影 部 分 我 们 可 以 看 出 ，AR2 上 此 时 已 经 添加 了 一 条 
Protocol:Static (静态 ) 路 由 ， 这 条 静态 IPv6 路 由 的 目的 网 络 为 FD13::/64， 下 一 跳 
为 FD12::1， 这 也 就 是 与 AR2 直 连 的 AR1 接口 60/070 的 IPv6 地 址 。 最 后 ， 我 们 来 尝试 
从 AR2 上 癌 AR3 发 起 ping 测试 ， 例 8-13 展示 了 这 次 测试 的 结果 。 
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例 8-13 ”再 次 从 AR2 向 AR3 发 起 ping 测试 
[AR2]ping ipv6 fdl13: :3 
PING fdl3::3 : 56 data bytes, press CTRL:C to break 

Request time out 
Request time out 
Reply from FD13::3 
bytes=56 Seguence=3 hop limit=63 time = 40 ms 
Reply from FD13::3 ~ 
bytes=56 Sequence=4 hop limit=63 time = 30 ms : 培 
Reply from FD13: :3 
bytes=56 Sequence=5 op time = 50 ms 


ns statisticss 一 -一 
5 packet(s) transmitted 
3 packet (s) received 
40. 00% packet. loss 
round-trip min/avg/max = 30/40/50 ms | 
从 例 8-13 的 测试 结果 我 们 可 以 看 出 , 现在 AR1、AR2 和 AR3 之 间 已 经 实现 了 全 互联 ， 
AR2 通过 静态 IPv6 路 由 能 够 访问 AR3， 反 之 AR3 也 可 以 通过 静态 IPv6 路 由 访问 AR2。 


8.1.2 ”IPv6 默认 路 由 的 配置 


配置 IPv6 默认 路 由 使 用 的 命令 与 配置 一 般 的 IPv6 静态 路 由 相同 ， 目 的 IPv6 地 
址 为 ::， 手 码 也 为 零 ， 这 样 的 组 合 表 示 匹 配 所 有 IPv6 地 址 。 在 8. 1.2 节 中 ， 我 们 会 使 
用 图 8-3 来 展示 IPv6 默认 路 由 的 配置 。 







GO/0/0 i GO/0/] 
FD12::1/64 FD13::1/64 


FD12::2/64 


图 8-3 IPv6 默认 路 由 的 配置 拓扑 


其 实 这 个 环境 与 图 8-1 使 用 的 拓扑 是 相同 的 。 我 们 在 这 里 只 是 为 了 方便 读者 阅读 而 
再 次 展示 。 在 8. 1.2 节 中 ， 我 们 需要 在 AR2 和 AR3 上 通过 IPv6 默认 路 由 来 实现 AR2 与 
AR3 之 间 的 通信 。 例 8-14 展示 了 三 台 路 由 器 上 的 相关 配置 命令 。 
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例 8-14 三 台 路 由 器 上 的 IPv6 配置 

[AR1 |]ipv6 

[ARl]interface gigabitethernet 0/0/0 

[AR1-GigabitEthernet0/0/0]ipv6 enable 

[AR1-GigabitEthernet0/0/0]ipv6 address fdl2::1 64 

[ARl1-GigabitEthernet0/0/0]quit 

[AR1 |interface gigabitethernet 0/0/!1 

[AR1-GigabitEthernet0/0/1]ipv6 enable 

[AR1-GigabitEthernet0/0/1]ipv6 address fdl3::] 64 

LAR2] ipv6 

[AR2]interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0/0/0]ipv6 enable 

[AR2-GigabitEthernet0/0/0]ipv6 address fdl2::2 64 

[AR2-GigabitEthernet0/0/0]quit 

[AR2]ipv6 route-static :: 0 g0/0/0 fdl2::1 

[AR3] ipv6 

[AR3]interface gigabitethernet 0/0/1 

[AR3-GigabitEthernet0/0/1|]ipv6 enable 

[AR3-GigabitEthernet0/0/1]ipv6 address fdl3::3 64 I 

[AR3-GigabitEthernet0/0/1]quit | \ 

[AR3]ipv6 route-static :: 0 g0/0/1 fd13::1 二 胃 

在 例 8-14 展示 的 配置 命令 中 ， 我 们 首先 使 用 系统 视图 命令 ipv6 在 全 局 局 用 了 IPv6， 
然后 进入 接口 视图 并 使 用 命令 ipv6 enable 在 接口 下 局 用 了 IPv6。 管 理 员 只 有 先 在 接口 
局 用 IPv6 协议 ， 才 能 够 配置 IPv6 地 址 | 

在 本 例 中 ， 读 者 需要 重点 关注 的 是 AR2 和 AR3 上 配置 的 最 后 一 条 命令 : 

e [AR2]ipv6 route-static :: 0 g0/0/0 fdl2::1; 

e [AR3]ipv6 route-static :: 0 g0/0/1 fdl3: :1。 

在 8.1.2 万 的 前 态 路 由 配置 中 ， 我 们 以 :: 0 来 表 赤 扶 认 路 由 ， 并 且 使 用 了 “出 接口 
+ 下 一 跳 IPv6 地 址 ”的 方式 进行 配置 。 要 想 同 时 配置 出 接口 和 下 一 跳 IPv6 地 址 ， 管 理 员 
要 先 输入 出 接口 ， 再 输入 下 一 卡 IPv6 地 址 。 

例 8-15 展示 了 AR2 上 的 IPv6 默认 路 巾 。 

例 8-15 在 AR2 上 查看 1IPv6 静态 默认 路 由 

[AR2jdisplay ipv6 routing-table protocol static 

Public Routing Table : Static 


Summary Count : 1 


Static Routing Table s Status ;《 Active > 


Summary Count : 1 
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Destination 3 2 PrefixLength : 0 
NextHop :: FBDi2::1 Preference : 60 
Cost 二 Protocol ,Static 
RelayNextHop : :: TunnelID : 0x0 
Interface : GigabitEthernet0/0/0 Flags sD 


Static Routing Table s Status : < Inactive > 


Summary Count : 0 

和 IPv4 中 一 样 ， 管 理 员 也 可 以 在 查看 IPv6 路 由 表 前 命 令 中 添加 关键 字 - protocol 
static 来 限定 VRP 系统 只 显示 TE 般 态 路 由 。 从 例 8-15 的 命令 输出 信息 中 我 们 可 以 看 
出 ， 这 条 静态 路 由 的 目的 地 (Destination) 是 ::， 下 一 跳 是 (NextHop) FD12: :1， 出 接 
口 (Interface) 是 G0/0/0, 与 例 8- 也 中 的 路 由 FD13: :进行 对 比 之 后 我 们 可 以 发 现 ,FD13: : 
路 由 的 标记 (Flags) 是 RD， 而 :: 路 由 的 标记 是 D。 这 是 因为 在 8. 1.1 节 中 ， 我 们 在 AR2 
上 配置 FD13: :路 由 时 只 指定 了 下 一 跳 IPv6 地 址 ， 而 没有 指明 出 接口 ，AR2 需要 根据 下 
一 跳 IPv6 地 址 来 确定 出 接口 信息 。 换 言 之 ， 壕 是 一 条 和 迭代 路 由 ， 因 此 路 由 条 目 才 多 了 
标记 R (Relay) 。 这 一 所 与 IPv4 路 由 中 的 标记 完全 相同 。 例 8-16 测试 了 扶 认 路 由 的 
工作 效果 。 
例 8-16 .在 AR2 上 向 AR3 发 起 ping 测试 
[AR2]ping Yipv6 fd13::3 

PING fdl3::3 : 56 data bytes, press CTRL C to break 
Reply from FDl13::3 
bytes=56 Sequence=] hop 下 让 全 time = 130 ms 
Reply from FD13: :3 

bytes=56 Sequence=2 hop limit=63 time 

Reply from FD13: :3 

bytes=56 Sequence=3 hop limit=63 time = 30 ms 

Reply from FD13::3 

bytes=56 Sequence=4 hop limit=63 time = 30 ms 

Reply from FD13::3 

bytes=56 Sequence=5 hop limit=63 time = 60 ms 


50 ms 


= 人 Ding Statistics, 一 一 
5 packet(s) transmitted 
5 packet (s) received 
0. 00% packet loss 
round-trip min/avg/max = 30/60/130 ms 


从 例 8-16 的 测试 结果 我 们 可 以 看 出 ，AR2 与 AR3 之 间 通 过 静态 配置 的 IPv6 默认 路 
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由 实现 了 通信 。 
8.1.3 1IPv6 汇总 路 由 的 配置 


在 IPv6 中 ， 路 由 也 是 可 以 进行 汇总 的 ， 这 一 点 与 IPv4 完全 相同 。 只 不 过 IPv6 地 
址 拥有 128 位 , 并 且 使 用 十 六 进 制 数值 进行 表示 ,因此 在 计算 汇总 时 会 比 IPv4 地 址 的 汇 
总 稍微 复杂 一 些 。8. 1. 3 节 将 使 用 图 8-4 所 示 拓 扑 来 介绍 如 何 计算 并 配置 IPv6 汇总 路 由 。 







了 
AR FD00:8AB:17DE:1::/64 


FD00:8AB:17DE2:2::/64 
FD0O0:8AB:17DE2:3::/64 
FDOO0:8AB:17DE:4::/64 






GO/0/0 GO/O0/0 
FD12::1/64 FD12::2/64 





图 8-4 IPv6 汇总 路 由 的 配置 拓扑 


如 图 8-4 所 示 , AR1 需要 通过 AR2 来 访问 以 下 4 个 IPv6 网 络 :FD00:8AB:17DE:1::/64、 
FD00:8AB:17DE:2::/64、FD00:8AB:17DE:3::/64 和 FD00:8AB:17DE:4/64，AR2 是 如 何 获 
得 这 些 路 由 信息 的 并 不 在 8. 1.3 节 的 介绍 之 内 ， 我 们 所 要 关注 的 是 如 何在 AR1 上 配置 与 
这 些 IPv6 网 络 相 关 的 汇总 路 由 。 

首先 我 们 来 看 看 如 何 把 这 4 个 IPv6 网 络 进行 汇总 : 


。 FD00:8AB:17DE:1::——FD00:8AB:17DE:0000 0000 0000 0001: 
。 FD00:8AB:17DE:2::——FD00:8AB:17DE:0000 0000 0000 0610:: 
。 FD00:8AB:17DE:3::——FD00:8AB:17DE:0000 0000 0000 O011:: 
。 FD00:8AB:17DE:4::——FD00:8AB:17DE:0000 0000 0000 0100:: 


我 们 在 将 这 4 个 IPv6 地 址 有 区 别 的 十 六 进 制 位 转换 成 二 进 制 之 后 就 会 发 现 , 它 们 只 
有 最 后 3 位 二 进 制 数值 有 区 别 ， 因 此 这 4 个 子 网 地 址 可 以 汇总 为 一 个 子 网 : 
FD00:8AB:17DE: :/61。 掩 人 码 长 度 61 是 由 汇总 前 的 64 位 掩 码 减 去 有 区 别 的 3 位 掩 人 码 得 来 的 。 

熟悉 IPv4 路 由 汇总 的 读者 可 能 会 发 现 ， 这 个 案例 中 的 IPv6 地 址 规划 实际 上 是 有 问 
题 的 : 如 果 管 理 员 在 AR1 上 使 用 了 汇总 路 由 FD00:8AB; 17DE: :/61， 实 际 上 是 多 汇总 进去 
了 下 面 这 4 个 IPv6 网 络 : 

。 FD00:8AB:17DE::/64——FDO0:8AB:17DE:0000 0000 0000 0000:: 

e。 FD00:8AB:17DE:5::/64——FD00:8AB:17DE:0000 0000 0000 0101:: 

e。 FD00:8AB:17DE:6::/64——FD00:8AB:17DE:0000 0000 0000 0110:: 

e。 FD00:8AB:17DE:7::/64——FD00:8AB:17DE:0000 0000 0000 0111:: 

因此 在 使 用 IPv6 网 络 时 ， 管 理 员 也 要 注意 网 络 中 的 地 址 规划 问题 。 对 于 IPv6 地 址 
的 分 配 设计 ，8. 1.3 节 仅 做 这 一 点 提示 , 接 下 来 我 们 还 是 按照 图 8-4 所 示 网 络 来 配置 AR1 
上 的 汇总 路 由 , 不 再 考虑 设计 不 够 完善 的 问题 。 例 8-17 中 展示 了 管理 员 在 AR1 上 实施 的 
配置 命令 。 
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例 8-17 AR1 上 的 1IPv6 配置 

[AR1jipv6 

[AR1Jjinterface gigabitethernet 0/0/0 

[AR1-GigabitEthernet0/0/0jipv6 enable 

[AR1-GigabitEthernet0/0/0]ipv6 address fdl2::1 64 

[ARl-GigabitEthernet0/0/0]quit 

[ARl1 | ipv6 route-static fd00:8AB:17DE:: 61 g0/0/0 fdl2::2 

在 例 8-17 中 ， 管 理 员 依然 使 用 了 命令 ipy6 route-static 配置 汇总 路 由 。 例 8-18 
中 展示 了 AR1 IPv6 路 由 表 中 的 这 条 路 由 。 -要 

例 8-18 在 AR11IPv6 路 由 表 中 查看 汇总 路 由 

[AR1jdisplay ipv6 routing- 侈 ble protocol] static 

Public Routing Table : Static 


, 
Summary Count : 1 


Static Routing Table s Status :; < Active > 


Summary Count : 1 | 

Destination : FD00:8AB:17DE:: PrefixLength : 61 
NextHop J FI Preference : 60 

Gost i A Protocol ‘SHEatie 
RelayNextHop : TunnelTID 人 
Interface : GigabitEthernet0/0/0 Flags i) 


Static Routing Table’s Status : < Inactive > 


Summary-Count : 0 

8. 1.3 节 展 示 了 计算 IPv6 汇总 路 由 的 方法 ， 本 质 上 ， 计 算 IPv6 汇总 路 由 的 方法 和 
计算 IPv4 汇总 路 由 的 方法 相同 ， 都 是 按照 二 进 制 数值 进行 计算 。8. 1. 3 节 中 没有 再 耗费 
笔墨 分 步骤 展示 计算 方法 , 对 此 感到 陌生 的 读者 可 以 复习 本 系列 教材 《路 由 与 交换 技术 》 
第 4 章 4.4.4 节 (汇总 静态 路 由 的 计算 与 设计 ) 中 的 内 容 。 


8.2 RIPng 的 配置 


在 IPv4 环境 中 的 RIP 版 本 有 RIPvl 和 RIPv2，RIPng 就 是 IPv6 环境 中 对 应 的 RIP 
版 本 ，RIPng 协议 的 全 称 是 下 一 代 RIP (路 由 信息 协议 ) 。RIPng 协议 是 从 RIPv2 扩展 来 
的 ， 它 除了 增加 了 对 IPv6 的 文 持 外 ， 并 没有 完全 继承 RIPv2 的 所 有 功能 。 在 8. 2 节 中 ， 
我 们 会 介绍 与 RIPng 相关 的 内 容 。 首 先 ， 我 们 会 通过 一 方 的 篇 幅 来 对 比 RIPv2 和 RIPng 
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的 区 别 与 共性 。 接 下 来 ， 我 们 再 用 一 节 来 展示 如 何在 华为 路 由 器 上 实现 RIPng 的 配置 。 
8.2.1 RIPng 与 RIPv2 的 比较 


在 本 系列 教材 《路 由 与 交换 技术 》 第 6 章 (动态 路 由 ) 中 我 们 曾经 介绍 了 RIP 的 基 
础 知识 ， 为 了 帮助 读者 回忆 相关 内 容 ， 现 在 把 RIP 中 需要 我 们 掌握 的 基本 知识 点 简要 列 


。 ”RIP 协议 (无论 RIPv1 还 是 RIPv2) 是 基于 UDP 的 应 用 层 协 议 ，RIP 对 应 的 端口 
号 是 UDP 520。 

e。 RIPv1 在 发 送 RIP 消息 时 ,封闭 的 目的 地 址 是 255. 255. 255. 255; RIPv2 在 发 送 
RIP 消息 时 ， 封 装 的 目的 IP 地 址 为 组 播 地 址 224. 0. 0. 9。 

。 RIPv1 和 RIPv2 都 采用 了 周期 更 新 的 方式 来 通告 路 由 信息 。 

。 RIP 路 由 的 度量 值 等 于 跳 数 ， 或 者 说 ，RIP 认为 所 有 链 路 的 开销 值 都 是 1， 且 最 
大 度量 值 为 16 跳 。 

。 RIP 定义 了 两 种 不 同 的 消息 类 型 ， 即 请 求 报 文 和 响应 报 文 。 

。 RIP 使 用 水 平分 割 和 毒性 反 转 来 防止 网 络 中 产生 路 由 环 路 。 

RIPng 作为 IPv6 环境 中 的 RIP 协议 版 本 , 是 从 RIPv2 发 展 来 的 。 根 据 上 面 这 个 列表 ， 

我 们 总 结 一 下 RIPng 的 相关 情况 。 \ 

© RIPng 也 是 基于 UDP 的 应 用 层 协 议 ， 使 用 的 端口 号 是 UDP 521: 

。 RIPng 在 发 送 RIP 消息 时 ， 封 装 的 目的 IPv6 地 址 为 组 播 地 址 FF02: :9， 封 装 的 
源 IPv6 地 址 是 链 路 本 地 地 址 。 

。 ”RIPng 也 采用 周期 更 新 的 方式 来 通告 路 由 信息 。 

。 ”RIPng 作为 一 种 距离 矢量 型 路 由 协议 ， 使 用 跳 数 作为 度量 值 ， 最 大 度量 值 为 16 
(不 可 达 ) 。 

。 RIPng 中 也 定义 了 两 种 不 同 的 消息 类 型 ， 即 请 求 报 文 和 啊 应 报 文 。 

。 ”RIPng 也 使 用 水 平分 割 和 毒性 反 转 来 防止 网 络 电 产 生路 由 环 路 。 

对 于 上 述 列 表 中 的 内 容 ， RIPng 基本 上 继承 了 RIPv2 中 的 设计 ， 只 是 在 UDP 端口 和 

RIP 消息 的 目的 组 播 地 址 上 稍 有 和 区别 : RIPng 使 用 UDP 端口 521, 组 播 目 的 地 址 使 用 IPv6 


汉 络 以 











1. RIPng 的 消息 封装 结构 

图 8-5 中 展示 出 RIPng 为 了 文 持 IPv6 而 修改 的 消息 封装 格式 。 其 中 ， 命 令 (Command) 
字段 与 RIPv2 的 作用 相同 ,由 于 RIPng 定义 了 请 求 报 文 和 啊 应 报 文 两 种 不 同 的 消息 类 型 ， 
因此 RIPng 也 同样 需要 命令 字段 来 标识 这 个 RIPng 消息 的 类 型 : 当 命令 字段 设置 为 1 时 ， 
这 个 RIPng 消息 就 是 请 求 报 文 (Request ) ; 当 命 令 字段 设置 为 2 时 ， 这 个 RIP 消息 就 是 
啊 应 报 文 (Respond) 。 


em 
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图 8-5 RIPng 的 消息 封装 结构 


版 本 (Version) 字段 用 来 标识 RIPng 的 版 本 ， 当 前 的 版 本 号 取 值 都 为 1。 也 正 是 版 
本 1 的 RIPng 协议 支持 请 求 报 文 和 响应 报 文 两 种 RIP 消息 ， 路 由 器 在 接收 到 RIPng 消息 
时 ， 都 会 通过 版 本 字段 来 确定 对 方 运行 的 RIPng 版 本 是 否 与 目 己 相同 。 

在 RIPng 消息 携带 的 路 由 条 目 部 分 , 每 个 路 由 条 目的 结构 都 是 相同 的 。 在 图 8-5 中 ， 
我 们 希望 通过 两 个 路 由 条 目 (1 和 AD 表示 一 个 RIPng 消息 中 可 以 携带 多 个 路 由 条 目 s 要 
个 路 由 条 目 都 为 20 字 节 ， 其 中 包含 IPv6 前 级 、 路 由 标记 、 前 级 长 度 和 度量 值 (也 就 是 
跳 数 ) 。 路 由 标记 字段 标识 了 路 由 携带 的 属性 ， 它 的 作用 是 为 了 区 分 内 部 RIPng 路 由 
《RIPng 路 由 域内 的 路 由 ) 和 外 部 RIPng 路 由 (从 EGP 或 其 他 IGP 注入 的 路 由 ) 。 在 一 个 
RIPng 消息 中 能 够 携带 多 少 个 路 由 条 目 取决 于 网 络 路 径 的 MTU。 

2. RIPng 的 路 由 表 

与 其 他 IPv6 路 由 一 样 ， 在 RIPng 的 路 由 表 中 同样 包含 目的 地 、 前 绥 长 度 、 下 一 中 、 
优先 级 、 开 销 、 协 议 等 字段 ， 我 们 在 这 里 要 者 重 说 明 的 是 下 一 跳 字 段 。 

我 们 在 前 文 的 列表 中 曾经 提 到 ，RIPng 消 奶 的 源 地 址 是 链 路 本 地 地 址 。 这 就 是 说 ， 
发 出 RIPng 消息 的 路 由 器 ,会 以 出 接口 的 链 路 本 地 地 址 作为 这 个 RIPng 消息 的 源 地 址 ( 排 
除 以 RIPng 接口 之 外 的 其 他 接口 发 送 单 播 请 求 消息 的 情况 ) 。 之 所 以 要 使 用 链 路 本 地 地 
” 址 作为 RIPng 消息 的 源 ， 是 因为 接收 到 这 个 RIPng 消息 的 路 由 器 在 把 相关 路 由 放 入 到 路 
由 表 中 时 ， 会 把 RIPng 消息 的 源 地 址 作为 路 由 的 下 一 跳 地 址 放 入 到 路 由 表 中 。 如 果 源 地 
址 不 正确 的 话 ，RIPng 邻居 就 无 法 正确 路 由 数据 包 。 在 8. 2.2 节 中 ， 我 们 会 通过 命令 展 
示 路 由 器 上 的 RIPng 路 由 条 目 。 

3. RIPng 的 认证 

在 8.2.1 节 的 最 后 ， 我 们 来 对 IPv6 环境 中 的 动态 路 由 协议 认证 做 一 点 补充 解释 。 
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在 IPv4 环境 中 ， 由 于 IP 协议 自身 不 支持 认证 ， 因 此 动态 路 由 协议 为 了 保障 安全 性 ， 目 
己 提 供 了 一 定 程度 的 认证 功能 。 比 如 RIPv2 支持 明文 和 加 密 认 证 ，0SPF 也 支持 明文 和 加 
密 认 证 。 但 在 IPv6 环境 中 ，RIPng 和 0SPFv3 的 认证 都 是 由 IPv6 提供 的 (IPSec) ， 于 
是 路 由 协议 自 喘 也 就 不 提供 认证 功能 了 。 


8.2.2 ” RIPng 的 配置 


在 8. 2. 2 节 中 , 我 们 会 使 用 图 8-6 所 示 拓 扑 来 展示 如 何在 华为 路 由 占 上 配置 RIPng。 
在 这 个 环境 中 ，AR1 和 AR2 上 的 所 有 接口 都 启用 IPv6 协议 ， 并 且 都 参与 RIPng 路 由 。 在 
这 个 案例 中 ， 我 们 需要 让 AR1 通过 RIPng 学 习 到 AR2 接口 60/0/1 所 连 网 络 的 路 由 。 


ARI AR2 











GO/0/0 GO/0/0 GO/0/1 
FD12::1/64 FD12::2/64 FDOO::2/64 


图 8-6 ”RIPng 的 配置 拓扑 





首先 ， 我 们 需要 在 AR1 和 AR2 的 系统 视图 中 全 局 局 用 IPv6， 然 后 在 相应 的 接口 视图 
中 启用 IPv6 并 配置 IPv6 地 址 。 例 8-19 展示 了 全 局 启用 IPv6 协议 的 配置 以 及 接口 的 相 
关 配 置 。 

例 8-19-- 在 AR1 和 AR2 上 配置 |Pv6 地 址 

[AR1 | ipv6 入 

[AR1] interface gigabitethernet 0/0/0 

[AR1-GigabitEthernet0/0/0]ipv6 enable 

[AR1-GigabitEthernet0/0/0] ipv6 fdl2::1 64 

[AR2]ipv6 | 

[AR2] interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0/0/0]ipv6 enable 

[AR2-GigabitEthernet0/0/0]ipv6 address fdl2::2 64 》 

[AR2-GigabitEthernet0/0/0]guit 

[AR2|]interface gigabitethernet 0/0/1 

[AR2-GigabitEthernet0/0/1]ipv6é enable 

[AR2-GigabitEthernet0/0/1] 汝 56 address fd00::2 64 

例 8-19 展示 的 命令 我 们 在 8. 1 节 中 已 经 展示 过 ， 这 里 不 做 解释 。 在 配置 好 IPv6 地 
址 后 ， 管 理 员 可 以 使 用 命令 display ipv6 interface brief 来 查看 路 由 器 上 配置 了 IPv6 
地 址 的 接口 。 这 条 命令 的 输出 信息 见 例 8-20。 

例 8-20 查看 AR1 和 AR2 上 配置 的 IPv6 地 址 


[ARl]display ipv6 interface brief 


家 


*down: administratively down 
(1): loopback 
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(s): spoofing 

Interface Physical Protocol 
GigabitEthernet0/0/0 up up 

LIPv6 Address] FD12::1 

[AR2]display ipv6 interface brief 

*down: administratively down 

(1): loopback 

(s):; spoofing 


Interface Physical Protocol . 
GigabitEthernet0/0/0 ‘up a 2 
[IPv6 Address] FD12::2 

GigabitEthernet0/0/1 如 Up 


[JPv6 Address] FD00::2 | 

如 例 8-20 所 示 ， 命 令 display ipv6 interface brief 的 输出 信息 会 以 每 两 行 对 
立 一 个 接口 的 格式 ， 展 示 接 口上 配置 的 IPv6 地 址 以 及 接口 的 物理 状态 和 协议 状态 。 从 
例 8-20 所 示 的 命令 输出 内 容 中 我 们 可 以 看 出 , AR1 的 接口 60/0/0 启用 了 IPv6 协议 并 配 
置 了 IPv6 地 址 FD12: :1,AR2 的 接口 600/0/0 局 用 了 IPv6 协 议 并 配置 了 IPv6 地 址 FD12::2， 
G0/0/1 配置 了 IPv6 地 址 FD00::2， 这 些 接口 的 物理 状态 和 协议 状态 也 都 是 中 的 。 

配置 好 接口 的 IPv6 地 址 后 ，AR1 与 AR2 就 能 够 通过 各 自 的 接口 60/0/0 进行 通信 ， 
因为 这 两 个 接 妇 连接 在 同一 个 IPv6 网 段 中 。 但 AR1 无 法 与 AR2 的 60/0/1 接口 进行 通信 ， 
因为 AR1 上 没有 去 往 FD00: :/64 的 路 由 。 在 这 里 , 我 们 的 工作 就 是 通过 RIPng 协议 让 AR1 
能 够 学 到 这 条 路 由 ， 具 体 的 配置 命令 见 例 8-21。 

例 8-21 在 AR1 和 AR2 上 配置 RIPng 

[ARL]ripng 1 

[AR1-ripng-—1l lquit 

[ARl |interface gigabitethernet 0/0/0 

[AR1-GigabitEthernet0/0/X0jripng 1 enable 

[AR2]ripng 1 

[AR2-—ripng—1 |quit 

[AR2] interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0/0/0]ripng 1 enable 

[AR2-GigabitEthernet0/0/0]quit 

[AR2 |]interface gigabitethernet 0/0/1 

[AR2-GigabitEthernet0/0/1lripng 1 enable 

RIPng 的 配置 逻辑 与 RIPv1/RIPv2 一 样 ， 管 理 员 首先 要 在 系统 视图 中 局 用 RIPng 进 
程 (进程 ID 的 取 值 范围 是 1 一 65535， 本 例 中 都 使 用 进程 1) ,在 系统 视图 中 ,管理 员 需 
要 使 用 命令 ripng process-id 来 启用 RIPng 进程 。 接 下 来 ， 管 理 员 进 入 需要 参与 RIPng 
路 由 的 接口 ， 在 接口 视图 中 使 用 命令 ripng process-idenable 启用 相应 的 RIPng 进程 。 
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管理 员 可 以 使 用 命令 display ripng 查看 RIPng 的 相关 信息 ， 其 中 包括 RIPng 的 进 
程 ID 以 及 各 种 计时 器 值 等 信息 ， 例 8-22 展示 了 这 条 命令 的 输出 内 容 。 
例 8-22 在 AR1 上 查看 RIPng 信息 
[AR1jdisplay ripng 
Public vpn-instance 
RIPng process : 1 
Preference : 100 
Checkzero : Enabled 
Default-cost :0 
Maximum number of balanced paths : 8 
Update time : 30 sec Age time : 180 sec 
Garbage-collect time : 120 sec 


Number of periodic updates sent : 67 


Number of trigger updates sent : 0 
Number of routes in database 2 
Number of interfaces enabled | | 


Total number of routes : 1 


Total number of routes in ADV DB is : 2 


Total..eount for 1 process : ' 
Number of routes in database : 2 a 证 
Number of interfaces enabled : 1 
Number of routes sendable in a periodic-update : 2 
Number of routes sent in lastiperiodic update : 1 
除了 这 条 命令 之 外 ， 管 理 员 也 可 以 使 用 命令 display ripng process-1id neighbor 
来 查看 路 由 器 上 的 RIPng 邻居 简要 信息 ， 也 可 以 在 这 条 命令 后 添加 关键 字 “verbose” 来 
查看 邻居 的 详细 信息 ， 例 8-23 展示 了 这 两 条 命令 的 输出 内 容 。 
例 8-23 ”在 AR1 上 查看 RIPng 邻居 


[AR1]display ripng 1 neighbor 于 
Neighbor : FE80::2E0:FCFF:FE37:6211 GigabitEthernet0/0/0 
Protocol : RIPNG bt 


[ARl]display ripng 1 neighbor verbose 
Neighbor : FE80::2E0:FCFF:FE37:621] GigabitEthernet0/0/0 
Protocol : RIPNG 
.Number of Active routes | 


Number of routes in garbage : 0 
通过 例 8-23 第 1 条 命令 的 输出 内 容 中 我 们 可 以 看 出 , RIPng 是 通过 链 路 本 地 地 址 来 
标识 邻居 的 , 与 此 同时 这 条 命令 还 显示 了 AR1 是 通过 哪个 接口 (60/0/0) 建 立 的 这 个 RIPng 
邻居 。 
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从 第 2 条 命令 中 我 们 还 可 以 看 到 RIPng 路 由 的 汇总 计数 ， 但 这 条 命令 的 输出 信息 并 
不 会 展示 共 体 的 路 由 条 目 。 管 理 员 需要 使 用 例 8-24 展示 的 命令 来 奋 看 RIPng 路 由 。 
例 8-24 在 AR1 上 查看 RIPng 路 由 
[AR1jdisplay ripng 1 route 
Route Flags:-R — RIPng 
A— Aging, G — Garbage-collect 


Peer FE80: :2E0:FCFF:FE37:621E on GigabitEthernet07/0/0 
Dest FD00::/64, | 
via FE80: :2E0:FCFF:FE37:6211, om | ta 0 KAS OL Su 

通过 例 8-24 所 示 命 令 displ8y ripng 1 route， 管 理 员 可 以 丛 看 路 由 融通 过 RIPng 
学 到 的 路 由 ， 并 且 可 以 epee 由 是 通过 哪个 RIPng 邻居 学 到 的 。 

通过 查看 IPv6 路 由 表 ， 员 可 以 查看 被 放 入 路 由 表 的 RIPng 路 由 。 在 例 8-25 中 ， 
我 们 使 用 了 关键 字 Wg ripng 让 路 由 需 只 显示 通过 RIPng 学 到 的 IPv6 路 由 。 

例 8-25 在 AR1- 上 查看 IPv6 路 由 表 中 的 RP ng 路 由 


[AR1jdisplay ipv6 routing-table protocol ripng 
Public Routing Table : RIPng 





SUmmary Goaunte :4 
和 


RIPng J Table s IStatus : < Active > 


Summary Count : 1 


Destination : FDO0:: prefixLength : 64 


NextHop - : PEDO: TABOBCPRRPEST :6211 Preference  : 100 
Cost | Protocol : RIPng 
RelayNextHop : :: TunnellD : Ox0 
Interface : GigabitEthernet0/0/0 Flags :1 


RIPng Routing Table s Status : < Inactive > 


Summary Count : 0 
从 例 8-25 所 示 的 命令 输出 内 容 中 我 们 可 以 看 出 ， 在 目的 地 为 FD00::/64 的 IPv6 路 
-由 条 目 中 ，AR1 在 下 一 跳 部 分 记录 的 是 AR2 接口 60/070 的 链 路 本 地 地 址 。 现 在 ，AR1 上 
已 经 有 了 去 往 FD00::/64 的 路 由 。 下 面 ， 我 们 通过 AR1 同 AR2 接口 60/0V1 发 起 ping 测 
试 ， 来 验证 当前 网 络 的 连通 性 ， 例 8-26 展示 了 测试 的 结果 。 

例 8-26 验证 网 络 连通 性 

[ARl lping ipv6 fd00::2 

PING fd00::2 : 56 data bytes, press CTRL C to break 
Reply from FD00: :2 
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bytes=56 Sequence=l hop limit=64 time = 770 ms 
Reply from FD00: :2 
bytes=56 Sequence=2 hop limit=64 time = 220 ms 
Reply from FD00: :2 
bytes=56 Sequence=3 hop limit=64 time = 160 ms 
Reply from FD00: :2 
bytes=56 Sequence=4 hop limit=64 time = 140 ms 
Reply from FED00: :2 
bytes=56 Sequence=5-hop limit=64 time = 120 ms 


SS 
5 packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 
round-trip min/avg/max = 120/282/770 ms 
例 8-26 中 命令 的 输出 信息 显示 测试 成 功 ，AR1 与 AR2 之 间 通 过 RIPng 实现 了 全 网 
路 由 。 


SOSPEY3 I | \ 


目前 ， 在 IPv4 环境 中 ， 我 们 使 用 的 0SPF 版 本 是 0SPFY2， 而 在 IPv6 环境 中 我 们 使 
用 的 0SPF 版 本 则 是 0SPFv3。 在 8.3 下 中， 我 们 会 通过 对 比 OSPFV2， 介 绍 一 些 与 0SPFvV3 
相关 的 重要 信息 ， 同时 演示 如 何在 华为 由 由 器 上 配置 0SPFv3。 

首先 ， 我 们 还 是 通过 一 节 的 篇 幅 来 对 比 一 下 0SPFv3 与 0SPFv2 之 间 的 区 别 与 共性 。 
在 8.3 节 的 8.3.2 节 中 ， 我 们 再 来 通过 案例 的 形式 ， 展 示 如 何在 华为 路 由 如 上 配置 
0SPFv3， 让 路 由 器 之 间 相 互 学 习 IPv6 路 由 信息 。 

到 

8.3.1 OSPFv3 与 OSPFvz2 的 比较 


在 华为 ICT 学 院 路 由 交换 技术 系列 教材 《路 由 与 交换 技术 》 第 7 章 中 ， 我 们 曾经 介 
绍 了 0SPFv2 的 理论 知识 。 在 8. 3. 1 节 中 ， 我 们 在 读者 已 经 掌握 的 0SPFv2 理论 知识 的 基 
础 上 ,以 清单 的 形式 对 比 0SPFv3 与 0SPFv2 的 共同 点 和 区 别 。 对 0SPFv2 的 原理 已 经 感到 
卫生 的 读者 ， 可 以 复习 本 系列 教材 《路 由 与 交换 技术 》 第 7 章 的 内 容 。 

概括 地 说 ，0SPFv3 继承 了 0SPFv2 中 的 以 下 特点 。 

。 协议 类 型 链 路 状态 型 路 由 协议 。 

。 度量 参数 : 以 接口 带宽 值 作 为 变量 来 计算 接口 开销 ， 每 条 路 由 的 开销 是 路 径 中 
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所 有 出 接口 开销 的 累加 值 。 

如 何 决定 最 优 路 由 : 使 用 SPF (最 短路 径 优先 ) 算法 。 

路 由 器 ID: 长 度 为 32 比特 ， 以 点 分 十 进 制 格式 表示 。 在 0SPFv3 中 ， 这 不 再 是 
接口 的 IPv6 地 址 ， 但 格式 仍 保 留 了 0SPFv2 中 的 定义 。 

区 域 的 概念 : 在 0SPFv3 中 也 使 用 区 域 的 概念 ， 这 一 点 与 0SPFv2 相同 。 所 有 区 
域 必须 连接 骨干 区 域 (区 域 0) ， 示 与 骨干 区 域 直 接 相 连 的 区 域 需要 通过 虚 链 
路 连接 到 骨干 区 域 。 

5 种 0SPF 数据 包 类 型 Hello 包 、DD 包 〈 数 据 娠 描述 ) 、LSR 包 ( 链 路 状态 请 
求 ) 、LSU 包 ( 链 路 状态 更 新 ) 和 LSAck 包 ( 链 路 状态 确认 ) 。0SPFv3 与 0SPFv2 
都 使 用 相同 的 5 种 类 型 数据 包 ， 它 们 的 作用 与 发 送 条 件 也 完全 相同 ， 但 数据 包 
格式 是 有 区 别 的 。 具 体 的 数据 包 格 式 和 区 别 不 做 详 述 ， 但 后 文中 会 展示 0SPFv3 
数据 包头 部 的 结构 ， 并 与 0SPFv2 进行 对 比 。 

邻居 关系 的 发 现 与 维护 : 如何 发 现 邻 届 并 建立 邻接 关系 的 机 制 与 0SPFv2 相同 。 
比如 在 广播 和 NBMA 链 路 上 选举 DR〈 指 证 路 由 器 ) 和 BDR (备份 指定 路 由 器 ) 的 
机 制 |。 

5 种 网 络 类 型 〈 接 口 类 型 ) : 点 到 点 、 广 播 、NBMA《〈 非 广播 多 路 访问 ) 、 点 到 
多 点 和 虚 链 路 。 具 体 描述 可 以 参考 本 系列 教材 《路 由 SO 7.1.5 节 (网 
络 类 型 )。 

邻居 状态 机 : 0SPF 邻居 状态 的 过 渡 事 件 与 0SPFv2 相同 。 具 体 描述 可 以 参考 本 
系列 教材 《路 由 与 换 技术 》7. 2.1 节 (0SPF 的 邻居 状态 机 ) 。 


-通过 上 面 这 个 列表 我 们 发 现 ，0SPFv3 与 0SPFv2 的 共性 还 是 很 多 的 ， 其 中 最 大 的 共 
性 是 这 两 个 协议 的 整体 架构 是 相同 的 。 当 然 , 由 于 IP 协议 的 版 本 有 所 不 同 , 因此 0SPFv3 
也 根据 IPv6 的 特点 对 0SPFv2 进行 了 各 方面 的 改进 。 总 的 来 说 ，0SPFv3 与 0SPFv2 的 区 
别 有 以 下 几 点 。 


口 


口 


0SPFv3 的 处 理 是 基于 链 路 的 ， 而 0SPFv2 的 处 理 是 基于 IP 子 网 的 。 在 IPv6 环 
境 中 , 设备 的 一 个 接口 上 可 以 配置 多 个 IPv6 地 址 , 也 就 是 一 个 接口 可 以 连接 多 
个 IPv6 网 络 。 两 台 直 连 IPv6 设备 之 间 的 通信 可 以 通过 链 路 本 地 地 址 实现 ， 因 
此 哪怕 它们 并 没有 连接 在 相同 的 IPv6 网 络 (相同 的 IPv6 前 级 ) 中 ， 它 们 也 可 
以 建立 0SPFv3 邻接 关系 。 

0SPFv3 数据 包 类 型 和 主要 的 LSA 中 移 除了 IP 地 址 这 一 概念 。 这 种 做 法 带 来 的 
影响 如 下 。 

0SPFv3 RID《〈 路 由 堪 ID) 、 区 域 ID 仍 为 32 比特 ， 也 都 使 用 点 分 十 进 制 格式 ， 
但 RID 不 再 来 日 于 IPv6 地 址 。 

0SPFv3 总 是 使 用 RID 来 识别 邻居 路 由 器 。 在 0SPFv2 中 ， 有 时 会 使 用 IPv4 地 址 
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来 识别 邻居 设备 ， 比 如 在 广播 、NBMA 和 点 到 多 点 链 路 上 。 

0SPFv3 数据 包 和 主要 的 LSA 中 不 再 包含 IPv6 地 址 信息 ， 当 然 LSU 包 的 LSA 负 
载 中 还 是 会 包含 指明 该 路 由 下 一 跳 地 址 的 IPv6 地 址 。 

使 用 链 路 本 地 地 址 发 送 0SPFv3 数据 包 : 0SPFv3 数据 包 使 用 路 由 器 接口 的 链 路 
本 地 地 址 作为 源 地 址 。 一 条 链 路 上 的 所 有 其 他 路 由 器 都 会 学 到 对 方 的 链 路 本 地 
地 址 ， 并 在 转发 数据 包 的 过 程 中 ， 把 这 个 地 址 作为 下 一 跳 地 址 。 但 虚 链 路 是 个 
例外 , 在 建立 虚 链 路 邻接 关系 时 , 路 由 器 必须 使 用 全 局 可 路 由 的 IPv6 地 址 作为 
OSPF 数据 包 的 源 地 址 。 

0SPFv3 移 除 了 认证 功能 : 0SPFv3 不 再 文 持 认 证 功能 ， 因 此 0SPF 数据 包头 部 与 
认证 相关 的 字段 也 一 并 移 除 。 我 们 会 在 后 文中 展示 0SPFv3 使 用 的 数据 包头 部 格 
式 。0SPFv3 不 再 支持 认证 的 理由 与 RIPng 相同 ， 鉴 于 我 们 在 上 文中 已 经 对 此 进 
行 了 说 明 ， 这 里 不 再 歼 述 。 

0SPFv3 数据 包 格 式 和 LSA 格式 发 生 了 变化 。 接 下 来 8. 3. 1 节 只 展示 0SPFv3 数 
据 包 头 部 的 结构 ， 各 种 类 型 的 0SPFv3 数据 包 和 LSA 格式 超出 了 本 书 范畴 。 


图 8-7 中 所 示 为 0SPFv3 的 数据 包头 部 结构 。 





图 8-7 0SPFv3 头 部 封装 的 字段 


下 面 ， 我 们 来 依次 说 明 0SPFv3 头 部 封装 中 各 个 字段 的 作用 。 
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版 本 : 这 个 字段 的 作用 是 标识 该 0SPF 消息 使 用 的 0SPF 版 本 ， 也 就 是 值 为 3。 
类 型 ，5 种 类 型 及 其 对 应 的 类 型 字段 取 值 分 别 如 下 。 

类 型 字段 取 值 为 1: Hello 消息 。 

类 型 字段 取 值 为 2: 司 据 库 描述 消息 CDD) 。 

类 型 字段 取 值 为 3: 链 路 状态 请 求 消息 (LSR) 。 

类 型 字段 取 值 为 4: 链 路 状态 更 新 消息 (LSU) 。 

类 型 字段 取 值 为 5: 链 路 状态 确认 消息 〈LSAck) 。 

数据 包 长 度 : 这 个 字段 以 字 节 为 单位 标识 了 0SPFv3 数据 包 的 长 度 , 这 个 长 度 包 
含 0SPFv3 数据 包头 部 。 

路 由 器 ID: 路 由 器 ID 就 是 一 台 0SPFv3 路 由 器 在 0SPFv3 网 络 中 的 身份 ， 路 由 
器 ID 的 长 度 为 32 比特 。0SPFv3 路 由 器 只 会 使 用 路 由 器 ID 来 标识 邻居 。 
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。 区域 ID: 区 域 ID 标识 了 0SPFv3 数据 包 所 属 的 0SPFv3 区 域 ， 区 域 ID 的 长 度 为 
32 比特 。 所 有 0SPFv3 数据 包 都 属于 且 只 属于 一 个 区 域 。 通 过 虚 链 路 传输 的 数 
据 包 会 标识 骨干 区 域 ID， 即 0。 
。 校 验 和 : 这 个 字段 的 作用 与 0SPFv2 头 部 校 验 和 相同 ， 接 收 方 路 由 器 会 通过 
0SPFv3 头 部 的 校 验 和 字段 校 验 整个 0SPFv3 数据 包 ， 而 不 只 是 校 验 头 部 。 
0SPFv2 的 头 部 封装 中 包含 了 上 述 的 所 有 字段 , 并 且 字 段 的 长 度 和 功能 也 都 没有 太 大 
区 别 。 不 过 ,0SPFv2 的 后 续 字 段 与 认证 相关 。 鉴 于 0SPFv3 移 除 了 认证 功能 , 因此 0SPFv3 
的 头 部 封装 以 实例 ID 字段 代 之 。 :| 
。 ”实例 ID: 我 们 在 前 文中 描述 0SPFv3 与 0SPFv2 的 区 别 时 曾经 提 到 ,0SPFv3 是 基 
于 链 路 的 。 不 仅 如 此 ，08PFv3 能 够 在 一 条 链 路 上 运行 多 个 0SPFv3 实例 ， 每 个 
实例 都 使 用 一 个 唯一 的 实例 ID， 实 例 ID 只 在 链 路 本 地 有 意义 。 如 果 路 由 器 在 
查看 接收 到 的 0SPFv3 数据 包 时 ， 发 现 这 个 数据 包 的 实例 ID 与 接收 接口 的 实例 
ID 不 匹配 ， 它 就 会 丢弃 这 个 数据 包 。 
e。 保留 : 当前 保留 字段 的 值 恒 为 0。 
OSPF 作为 一 项 功能 强大 且 较 为 复杂 的 动态 路 由 协议 , 两 个 版 本 之 间 的 区 别 不 是 一 节 
的 篇 幅 就 能 说 清 的 。 在 现 阶 段 的 学 习 中 ， 我 们 依照 本 系列 教材 《路 由 与 交换 技术 》 中 学 
习 过 的 0SPFv2 相关 理论 ， 对 0SPFv3 中 的 继承 和 变更 进行 了 简单 介绍 ， 以 便 让 读者 对 
0SPFv3 拥有 一 欠 大 致 的 了 解 。 在 8. 3. 2 节 中 ， 我 们 会 通过 一 个 简单 的 环境 ,- 介 绍 如 何在 
华为 路 由 器 上 部 署 0SPFv3。 


8.3.2 ”OSPFv3 的 配置 


8. 3. 2 节 我 们 会 使 用 图 8-8 所 示 拓 扑 来 展示 0SPFv3 的 配置 。 在 这 个 案例 中 ， 我 们 会 
配置 两 个 0SPF 区 域 : 区 域 0〈 骨 干 区域 ) 和 区 域 13。 








/ 
/ 
GO I :3/64 
FD12::2/64 ee 
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NS ps ee 
WW 2 
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图 8-8 ”0SPFv3 的 配置 拓扑 
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如 图 8-8 所 示 ，AR1l 作为 区 域 边 界 路 由 右 ， 分 列 连接 区 域 0 和 区 域 13。 图 中 三 台 路 
由 器 上 的 所 有 接口 都 参与 0SPFv3 路 由 ， 管 理 员 的 任务 是 通过 部 署 0SPFv3 使 全 网 互通 。 

首先 ， 我 们 还 是 需要 在 每 台 路 由 器 上 启用 IPv6 并 在 接口 上 配置 IPv6 地 址 。 例 8-27 
展示 了 相关 配置 命令 。 

例 8-27 在 三 台 路 由 器 上 配置 接口 IPv6 地 址 

[AR1 | ipv6 

[ARl]interface gigabitethernet 0/0/0 

[ARl-GigabitEthernet0/0/0]ipv6é enable 

[ARl-GigabitEthernet0/0/0]ipv6 address fdl2::1 64 

[AR1-GigabitEthernet0/0/0]quit 

[AR1]interface gigabitethernet 0/0/1 

[ARl1-~GigabitEthernet0/0/1|]ipv6 enable 

[ARl-GigabitEthernet0/0/1]ipv6 address fdl3::1 64 

[AR2]ipv6 

[AR2|]interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0/0/0|]ipv6 enable 

[AR2-GigabitEthernet0/0/0] ipv6 address fd1l2::2 64 

[AR2-GigabitEthernet0/0/0]quit 

[AR2]interface gigabitethernet 0/0/1 / \ 

[LAR2-GigabitEBthernet0/0/1]ipv6 enable 

[AR2-GigabitEthernet0/0/1|]ipv6 address fd22::2 64 

[AR3]ipv6 

[AR3] interface gigabitethernet 0/0/0 

[AR3-GigabitEthernet0/0/0]ipv6é enablle 

[AR3-GigabitEthernet0/0/0]ipv6 rh E033:: S64 

[AR3-GigabitEthernet0/0/0]quit 

[AR3|]interface gigabitethernet 0/0/1 

[AR3-GigabitEthernet0/0/1]ipy6 enable 

[AR3-GigabitEthernet0/0/1]ipv6 address fd1l3::3 64 六 

在 配置 好 接口 IPv6 地 址 后 ， 管 理 员 可 以 通过 命令 display ipv6 interface brief 
查看 接口 的 IPv6 地 址 配置 ， 划 可 以 通过 ping ipv6 命令 来 测试 一 下 直 连 链 路 的 连通 性 ， 
以 保证 IPv6 地 址 配置 无 误 。 

接着 , 我 们 需要 在 全 局 启用 0SPv3， 并 把 接口 加 入 到 相应 的 0SPFv3 区 域 中 , 例 8-28 
展示 了 相关 配置 命令 。 

例 8-28 在 三 台 路 由 器 上 配置 OSPFv3 

[AR1jospfv3 1 

[AR1-~6spfv3~l1 jrouter-id 1.1.1.1 

LAR1-ospfv3-1]quit 
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[AR1] interface gigabitethernet 0/0/0 

LAR1-GigabitEthernet0/0/0]ospfv3 1 area 0 

[ARl-GigabitEthernet0/0/0]guit 

[ARl1 | interface gigabitethernet 0/0/1 

[AR1-GigabitEthernet0/0/1]ospfv3 1 area 13 

[AR2]ospfv3 1 

[AR2-o08pfv3-1|router—id 2, 2,2.2 

[AR2-ospfv3-1jaquit 

[AR2j interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0X0XZ0jospfv3 1 area 0 

[AR2-GigabitEthernet0/0/0j]quit 

[AR2 |interface gigabl etharod 0/0/1 

[AR2-GigabitEthernet0/0/1]ospfy3 ] area 0 

[AR3]ospfv3 1 

[AR3-ospfv3-1]router-id 3.3.3.3 

[AR3-ospfv3-1jaquit 

[AR3]interface gigabitethernet 0/0/0 | 

[AR3-GigabitEthernet0/0/0]ospfv3 1 area 13 

[AR3-GigabitEthernet0/0/0]quit 

[AR3] interface gigabitethernet 0/0/1 

[AR3-GigaBitEthernet0/0/1]ospfv3 1 area 13 

在 例 8-28 中 ， 我 们 使 用 配置 了 命令 ospfv3 1。 这 条 命令 的 作用 是 ,创建 0 0SPFv3 进程 
1 ,并 让 设备 管理 员 进 入 了 0SPFv3 进程 1 视图 中 。 这 条 命令 的 句法 为 ospfv3 process-id, 
其 中 进程 ID 的 取 什 范围 是 1 一 65535。 

在 0SPFv3 视图 中 ， 我 们 使 用 命令 router-id router-id 手动 指定 了 每 台 路 由 器 的 
OSPFv3 RID (路 由 器 ID) 。 在 0SPFv3 中 ， 路 由 器 ID 的 长 度 与 0SPFv2 相同 ， 都 是 32 比 
特 ， 并 且 也 是 以 点 分 十 进 制 的 格式 展示 的 。 

接 下 来 ， 我 们 进入 了 相应 接口 的 接口 视图 ， 使 用 命令 ospfv3 process-id area 
area-1d 让 接口 加 入 到 相应 的 区 域 中 。 在 0SPFv3 中 ， 区 域 ID 的 长 度 也 与 0SPFv2 相 
同 ， 都 是 32 比特 ， 并 且 也 是 以 点 分 十 进 制 格式 展示 的 。 管 理 员 在 配置 时 可 以 使 用 十 

进 制 格式 来 简化 输入 的 字符 数量 , 比如 我 们 在 上 面 的 示例 中 就 直接 输入 了 十 进 制 数字 
0 和 13。 

等 0SPFv3 邻居 建立 后 ， 管 理 员 可 以 使 用 display ospfv3 peer 来 查看 建立 好 的 
0SPFv3 邻居 关系 。 例 8-29 展示 了 在 这 三 台 路 由 器 上 分 别 输入 相同 命令 后 的 输出 内 容 。 

例 8-29 在 三 台 路 由 器 上 输入 命令 display ospfv3 peer 


LAR1jdisplay ospfv3 peer 
0SPFv3 Process (1) 
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0SPFv3 Area (0.0.0.0) 
Neighbor ID ， Pri State， ,Dead Time Interface ， Instance ID 
2 ,Foll/R ,00.00596, CROXOAO lnk 
OSPFv3 Area (0. 0. 0. 13) 
Neighbor ID Pri' State Dead Time lnterface Instance ID 
太 全 1 Full/Backup 00:00:31 GE0/0/1 0 


[AR2]display ospfv3 peer 
OSPRv3 Process (1) 
OSPFv3 Area (0.0.0.0) 
Neighbor ID Pri State Dead Time Interface Instance ID 
| 1! Full/Backup 00:00:;33 GE0/0/0 0 
[AR3jdisplay ospfv3 peer 
0SPFv3 Process (1) 
OSPFv3 Area (0. 0. 0. 13) 
Neighbor ID Pri State Dead Time Interface Instance ID 
We a 1 Full/DR 00:00:35 GE0/0/1 lp a 
下 面 ， 我 们 以 例 8-29 所 示 内 容 的 阴影 部 分 为 例 来 售 单 说 明 0SPFv3 邻居 的 输出 
信息 。 
首先 ,命令 输出 的 第 一 行 信息 显示 了 0SPFv3 进程 D， 下 一 行 显示 了 0SPF 区 域 
ID。 注 意 ,，VRP 系统 显示 的 0SPF 区 域 ID 格式 为 点 分 十 进 制 ， 区 域 0.0. 0. 0 也 就 是 
区 域 0。 如 果 一 台 路 由 器 参与 了 多 个 0SPFv3 区 域 的 路 由 , 那么 在 这 条 命令 的 输出 内 
容 中 ， 路 由 器 就 会 按照 区 域 ID 数值 从 小 到 大 展示 所 有 区 域 中 的 邻居 信息 。 以 AR1 
为 例 ， 在 阴影 部 分 结束 之 后 ， 系 统 就 开始 展示 另 一 个 区 域 的 邻居 信息 了 。 让 我 们 再 
回 到 区 域 0， 这 条 命令 其 实 展示 的 是 0SPFv3 邻居 的 简要 信息 ， 通 过 这 些 信 息 ， 我 们 
可 以 看 出 邻居 的 路 由 器 ID 和 邻居 状态 。 如 果 想 要 查看 邻居 的 详细 信息 ， 管 理 员 需 
要 使 用 关键 字 verbose。 例 8-30 以 AR1 为 例 ， 展示 了 display ospfv3 peer verbose 
的 输出 信息 。 I 
例 8-30 在 AR1 上 输入 命令 display ospfv3 ee 
[ARl]display ospfv3 peer verbose 
OSPEyS3” Process” {1) ，. 用: 
Neighbor 2.2.2.2 is Full, interface address EE80::2E0:ECPF:PEFB:588D 
In the area 0. 0. 0.0 via interface GE0/0/0 
DR -Priority is DR Ls 2 2 2 BDR Es 1 Tal.l 
Options is 0x000013 (-|R|=|-|E|Ve) 
Dead timer due in 00:00:32 
Neighbour is up for 02:41:05 


Database Summary Packets List 0 
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Link State Request List 0 
Link State Retransmission List 0 
Neighbour Event: 6 
Neighbour If Id : Ox3 
Neighbor 3. 3. 3.3 is Full, interface address FE80::2E0:FCFF:FEl13:492C 
In the area 0.0.0.13 via interface GEQ/0/1 
Rprivribyis. EDR Te lyl td BDR: SS B33 
Options is 0x000013 (-|R|-|-|IEIV6) 
Dead timer due in 00:00:35 
Neighbour is up for 02:16:33 | 
Database Summary Packets List 0 
Link State Request List 如 
Link State Retransmission List 0 
Neighbour Event: 5 
Neighbour If Id : Ox4 
例 8-30 展示 了 display ospfv3 peer verbose 命令 的 输出 信息 ， 在 这 里 我 们 只 
重 指出 一 点 : 在 阴影 部 分 中 ， 我 们 可 以 看 到 接 由 地 址 (interface address) 这 一 项 ， 这 
是 0SPFv3 邻居 接口 的 地 址 。 也 就 是 说 ， 阴 影 中 的 接口 地 址 是 AR2 接口 60/0/0 的 地 址 ， 
而 且 是 这 个 接口 的 链 路 本 地 地 址 ， 而 不 是 管理 员 手 动 配置 的 全 局 单 播 地 址 。 所 以 , 0SPFv3 
是 使 用 接口 的 链 路 本 地 地 址 来 建立 0SPFv3 邻居 的 。 PETRO OE 
划 时 ， 路 由 器 的 0SPFv3 邻居 状态 也 随 之 出 现 变动 。 
在 命令 display ospfv3 interface interface-type interface-number 的 输 
出 信息 中 ， 我 们 可 以 清晰 地 看 到 本 地 路 由 霍 建 立 0SPFv3 邻居 使 用 的 IPv6 地 址 ， 
例 8-31。 
例 8-31 在 AR1 上 输入 命令 display ospfv3 interface g0/0/0 
[AR1jdisplay ospfv3 interface g0/0/0 
GigabitEthernet0/0/0 is up, line protocol is up 
Interface ID Ox3 
Interface MIU 1500 
IPv6 Prefixes 
FE80: :2E0: FCFF:FE47:5FFB (Link-Local Address) 
FD12::1/64 
OSPFv3 Process (1), Area 0.0.0.0, Instance ID 0 
Router ID 1.1.1.1, Network Type BROADCAST, Cost: 1 
Transmit Delay is 1 sec, State Backup, Priority 1 
Designated Router (ID) 2.2.2.2 
Interface Address FE80: :2E0:FCFF:FEFB:588D 
Backup Designated Router (ID) 1.1.1.1 
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Interface Address FE80::2E0:FCFF:FE47 :SFFB 

Timer interval configured, Hello 10, Dead 40, Wait 40, Retransmit 5 
Hello due in 00:00:02 

Neighbor Count is 1, Adiacent neighbor count is 1 

Interface Event 3, Lsa Count 2, Lsa Checksum 0xe76a 

Interface Physical BandwidthHigh 0, BandwidthLow 1000000000 


在 例 8-31 命令 输出 内 容 中 的 阴影 部 分 我 们 可 以 看 到 AR1 接口 60/0/0 上 的 IPv6 前 
缀 信息 ,其 中 FE80: :2E0:FCFF:FE47:5FFB 是 路 由 器 自动 生成 的 链 路 本 地 地 址 , 从 地 址 后 
面 的 括号 中 也 可 以 确认 它 是 链 路 本 地 地 址 。 

接着 我 们 来 确认 一 下 AR1 通过 0SPFv3 学 到 的 路 由 信息 ， 见 例 8-32。 

例 8-32 查看 AR1 上 的 OSPFv3 路 由 

[AR1jdisplay ospfv3 routing 


Codes : E2 — Type 2 External, El -— Type 1 External, IA - Inter-Area， 
N — NSSA, U — Uninstalled 


OSPFv3 Process (1) 


Destination Metric 
Next-hop \ 

FD12: :/64 | : 
directly connected, GigabitEthernet0/0/0 2. 

FD13: :/64 s 1 
directly connected, GigabitEthernet0/0/1 

FD22: : /64 | 3 用- 
via FE80::2E0:FCFF:FEFB:588D，GigabitEthernet0/0V0 

FD33::/64 2 


via FE80::2E0:FCFF:FE13:492C, GigabitEthernet0/0/1 
命令 display ospfv3 routing 显示 的 是 AR1 通过 0SPFv3 学 到 的 所 有 路 由 信息 ， 要 
注意 这 里 展示 的 路 由 并 不 一 定 都 是 IPv6 路 由 表 中 的 醉 用 路 由 。 管 理 员 可 以 使 用 命令 
display ipv6 routing-table protocol ospfv3 来 查看 被 放 入 IPv6 路 由 表 中 的 0SPFv3 
路 由 ， 见 例 8-33。 
例 8-33 在 AR1 上 查看 1IPv6 路 由 表 中 的 OSPFv3 路 由 
[AR1]display ipv6 routing-table protocol ospfv3 


Public Routing Table : OSPFv3 


Summary Count : 4 


0SPFv3 Routing Table s Status : < Active > 


Summary Count : 2 


一 


Destination 
NextHop 
Cost 


D22.. 
: FE80: :2E0:FCFF:FEFB:588D 
>- 


RelayNextHop : :: 


Interface 


Destination 
NextHop 
Cost 


“pS 
: FE80: :2E0:FCFF:FE13:492C 
jn | 


RelayNextHop : :: 


Interface 


t 


所 
0SPFv3 -Routing - Table s Status : 


:GigabitEthernet0/0/0 


: GigabitEthez 区 et0/0V1 


< Inactive > 


PrefixLength : 
:10 

: QSPFY3 
: 0x0 
ED 


Preference 
Protocol 
TunnelID 
Flags 


PrefixLength : 
: 10 

: OSPFV3 
0x0 

|， 


Preference 
Prot 息 ol 
TunnelID 
Flags 


PrefixLength : 


Preference 
Protocol 
TunnelID 
Flags 


PrefixLength 
Preference 
Protocol 
TunnelID 
Flags 
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64 


64 


: 64 

* 10 

: OSPFY3 
: 0x0 
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从 例 8-33 中 我 们 可 以 看 出 ，AR1 的 IPv6 路 由 表 中 被 放 入 了 4 条 0SPFv3 路 由 ， 但 只 
另 两 条 既是 AR1 的 直 连 路 由 ， 又 是 ARI 从 0SPFv3 


Summary Count : 2 

Destination : FD12:: | 
NextHop 

Cost l 

RelayNextHop te : 

Epterfdge GigabitEthernet0/0/0 

\ 

Destination : FDl3:: 

NextHop 

Cost 1 

RelayNextHop : :: 

Interface : GigabitEthernet0/0/1 

有 两 条 非 直 连 路 由 的 状态 是 Active。 


邻居 学 到 的 路 由 , 因此 它们 的 状态 是 Inactive, 这 两 条 0SPFv3 路 由 的 开销 (Cost ) 为 1。 


当 管 理 员 在 AR1 上 查看 这 两 条 通过 直 连 学 到 的 相同 路 由 时 ， 会 发 现 它们 的 开销 为 0。 


现在 AR2 学 习 到 了 0SPFv3 区 域 13 中 的 所 有 路 由 。 同 样 ，AR3 也 学 习 到 了 0SPFv3 区 


域 0 中 的 所 有 路 由 。 


例 8-34 展示 了 AR2 学 到 的 所 有 0SPFv3 路 由 。 


例 8-34 查看 AR2 上 的 OSPFv3 路 由 


[AR2jdisplay ospfv3 routing 


Codes : 


N 一 NSSA，U = Uninstalled 


E2 -Type 2 External, El - Type 1 External, 1A = Inter-Area, 


=— 
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OSPFv3 Process (1) 


Destination Metric 
Next—hop i 
FD12::/64 1 
directly connected, GigabitEthernet0/0/0 
IA FD13::/64 2 
via FE80: :2E0:FCFF:FE47:5FFB, GigabitEthernet0/07/0 
FD22: :/64 1 
directly connected, GigabitEthernet0/0/1 
IA FD33::/64 3 


via FE80: :2E0:FCFF:FE47:5FFB, GigabitEthernet0/0/0 
从 例 8-34 的 命令 输出 内 容 中 我 们 可 以 看 出 , FD13::/64 和 FD33::64 这 两 条 IPv6 路 
由 的 前 面 都 标明 了 IA, 这 表示 它们 是 0SPFv3 区 域 间 路 由 。AR2 会 把 这 两 条 区 域 间 路 由 放 
入 自己 的 IPv6 路 由 表 中 ， 并 将 其 作为 活跃 (Active) 路 由 来 使 用 ， 例 8-35 展示 了 AR2 
的 IPv6 路 由 表 。 
例 8-35 在 AR2 上 查看 IPv6 路 由 表 中 的 OSPFv3 路 由 
[AR2jdisplay ipv6 routing-table protocol ospfv3” 


Public Routing Table : OSPFv3 
Summary Count : 4 \ 


OSPFv3 Routing Table s Status :《 Active > 


Summary Count :.2 


Destination : FD13:: | PrefixLength : 64 
NextHop : FE80::2E0:FCFF:FE9E:14D3 Preference : 10 
Cost 本 Protocol : OSPFv3 
RelayNextHop : :: TunnelID : 0x0 
Interface : GigabitEthernet0/0/0 Fldgs SD 
或 

Destination : FD33:: PrefixLength : 64 
NextHop - FE80: :2E0: ECFF :FE9E: 14D3 Preference : 10 
Cost | Protocol : 0SPFv3 
RelayNextHop : :: f TunnelID “OO 
Interface : GigabitEthernet0/0/0 Flags 三 自 


0SPFv3 Routing Table' s Status :《 Inactive > 


Summary Count : 2 


Destination : FDl12:: PrefixLength : 64 
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NextHop Ee Preference : 10 
Cost -| Protocol : OSPFv3 
RelayNextHop : :: TunnelID 二 OK 
Interface : GigabitEthernet0/0/0 “Flags 

Destination : FD22:: PrefixLength : 64 
NextHop = 了 党 Preference : 10 
Cost 二 | Protocol : QSPFVS 
RelayNextHop : :: Tunn@} 1D ,2 Gx 
Interface : GigabitEthernet0/0/1 Flags 


从 例 8-35 中 我 们 可 以 看 出 ， 站 条 非 直 连 IPv6 路 由 的 状态 是 Active， 另 两 条 既是 AR2 
的 直 连 路 由 ， 又 是 AR2 从 0SPFv3 人 局 (AR1) 学 到 的 路 由 ， 因 此 它们 的 状态 是 Inactive， 
这 两 条 0SPFv3 路 由 的 开销 《Costy 为 1。 当 管理 员 在 AR2 上 查看 这 两 条 通过 下 和 连 学 到 的 
相同 路 由 时 ， 会 发 现 它 们 的 开销 为 0。 

我 们 可 以 推断 出 AR3 学 到 的 IPv6 路 由 以 及 它 放 入 IPv6 路 由 表 中 的 路 由 条 目 《〈 状 态 
为 Active) ， 在 这 里 我 们 不 再 展示 AR3 上 的 相关 信息 ， 读者 可 以 在 实验 练习 的 过 程 中 检 
验 自己 的 推测 结果 是 否 正 确 。 


a 天 8. 4 本 章 总 结 一 * 


在 本 章 中 ， 我 们 以 IPv6 路 由 的 配置 为 重点 ， 介 绍 了 IPv6 路 由 的 相关 内 容 ， 其 中 包 
括 .IPv6 静态 路 由 、RIPng 和 0SPFv3。 

在 IPv6 静态 路 由 部 分 ， 我 们 介绍 了 如 何在 华为 路 由 器 上 配置 IPv6 静态 路 由 ， 并 且 
展示 了 IPv6 默认 路 由 的 配置 ， 以 及 IPv6 汇总 路 由 的 计算 和 配置 方法 。 

接 下 来 ， 我 们 介绍 了 两 种 动态 路 由 协议 的 IPv6 版 本 : RIPng 和 0SPFv3。 当 然 除 了 
这 两 个 路 由 协议 之 外 ，IPv6 环境 中 还 可 以 部 署 其 他 动态 路 由 协议 。 

在 8. 2 节 中 我 们 对 比 了 RIPng 与 RIPv2 的 异同 ， 并 通过 案例 的 形式 展示 了 RIPng 的 
配置 和 验证 方法 。 在 8. 3 节 中 我 们 则 按照 8. 2 节 的 结构 ， 首 先 对 比 了 0SPFv3 与 OSPFv2 
”的 异同 ， 然 后 通过 案例 展示 了 华为 路 由 器 上 0SPFv3 的 配置 和 验证 方法 。 


8.5 ”练习 题 


一 、 选 择 题 
1. 在 IPv6 环境 中 配置 IPv6 静态 路 由 时 ， 如 果 路 由 FD00:8AB:17DE::/64 的 下 一 跳 


"20 == 
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IPv6 地 址 是 FD00: :10， 出 站 接口 是 61/0/0， 那 么 管理 员 可 以 使 用 以 下 哪 条 配置 命令 ? 
(多 选 )( ) 

. ipv6 route-static fd00:8ab:17de:: 64 gl1/0/0 

. ipv6 route-statie fd00:8ab:l7de:: 64 fd00::10 

ipv6 route-static fd00:8ab:17de:: 64 gl1/0/0 fd00::10 

直 连 路 由 ， 无 需 配 置 静 态 路 由 命令 

. RIPng 和 0SPFv3 分 别 属于 哪 种 类 型 的 动态 路 由 协议 ? ( ) 
距离 矢量 型 动态 路 由 协议 ， 链 路 状态 型 动态 路 由 协议 

路 径 矢 量 型 动态 路 由 协议 ， 链 路 状态 型 动态 路 由 协议 

距离 矢量 型 动态 路 由 协议 ， 增 强 型 距离 矢量 型 动态 路 由 协议 

.路径 矢量 型 动态 路 由 协议 ， 增 强 型 距离 矢量 型 动态 路 由 协议 
.以 下 有 关 RIPng 的 说 法 中 ， 正 确 的 是 ? (多 选 )(  ) 

. RIPng 使 用 UDP 520 端口 发 送 和 接收 路 由 信息 

. RIPng 使 用 组 播 IPv6 地 址 FF00: :9 作为 目的 地 址 发 送 路 由 更 新 
.RIPng 使 用 链 路 本 地 地 址 作为 源 地 址 发 送 路 由 更 新 

一 个 RIPng 消息 中 能 够 携带 的 路 由 条 目的 数量 取决 于 网 络 中 的 MTU 


.RIPng 与 RIPv2 在 以 下 哪个 方面 有 所 区 别 ? ( ) 
.路 由 更 新 方式 B. 防 环 机 制 

消息 类 型 D. 度量 参数 

以 上 答案 均 不 正确 
，RIPng 会 使 用 以 下 哪 种 地 址 作为 赂 由 的 下 一 跳 地 址 ? ( ) 
.全 局 单 播 地 址 B. 唯一 本 地 地 址 

链 路 本 地 地 址 D. 以 上 答案 都 正确 
.0SPFv3 与 0SPFv2 在 以 下 哪些 方面 有 所 区 别 ? (多 选 )( ) 
.网 络 类 型 (接口 类 型 ) 


.发 送 路 由 更 新 消息 使 用 的 目的 组 播 地 址 
: 0SPF 消息 格式 如: 
. 文 持 的 认证 类 型 
. 管理 员 在 路 由 器 上 配置 了 命令 ospfv3 1 area 13， 其 中 配置 的 1 表示 什么 ? 
( ) 
A. 路 由 器 ID B. OSPF 的 进程 ID 
C. 接口 ID D. 区 域 ID 
、 判 断 题 
1 大亨 时 IPv6 静态 路 由 时 ， 如 果 目 的 地 址 和 掩 码 为 全 去， 则 表示 配置 的 是 IPv6 
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默认 路 由 。 


2. 0SPFv2 中 的 路 由 器 ID 为 32 位 ，0SPFv3 中 的 路 由 器 了 DD 为 128 位 。 
3. 在 0SPFv3 中 ，0SPF 接口 的 默认 开销 与 0SPFv2 中 是 相同 的 。 


“= WA == 





9.1 
9.2 
9.3 
9.4 
9.5 





AAA 工 作 原理 

IPSec VPN、GRE 原 理 和 配置 

如 何 利用 网 络 安全 技术 保证 网 络 安全 性 
本 章 总 结 

练习 题 





随 着 网 络 日 渐 渗透 到 人 们 生活 中 的 方方面面 ， 人 们 对 于 网 络 的 依赖 性 也 变 得 越 来 越 
强烈 。 人 们 向 网 络 中 发 送 的 数据 不 再 是 聊天 室 中 那些 空洞 的 话语 ， 而 是 包含 了 许多 与 我 
们 个 人 身份 证 件 、 银 行 账户 、 投 资 理财 账户 有 关 的 重要 信息 。 各 类 企业 网 络 中 传递 的 也 
不 只 是 通知 会 议 时 间 和 待 办 事务 的 电子 邮件 ， 医 院内 部 网 络 中 传输 的 也 有 可 能 是 手术 患 
者 的 疾病 治疗 史 与 药物 过 敏 史 的 资料 ， 机 场 内 部 网 络 中 传输 的 也 有 可 能 是 塔台 关于 航班 
起 降 调度 的 高 度 与 时 间 的 信息 。 随 着 物 联网 (IoT) 时 代 的 到 来 ， 网 络 中 还 会 传递 越 来 越 
多 联网 设备 的 控制 信息 。 

如 果 最 初 网 络 攻击 只 是 网 络 爱 好 者 们 的 一 种 炫 技 方式 ， 目 的 也 不 过 是 在 满足 自己 好 
奇 心 的 同时 收获 一 点 小 小 的 虚荣 ， 那 么 而 时 至 今日 ， 网 络 攻 击 已 经 演变 成 了 一 项 会 影响 
到 人 们 个 人 信息 安全 、 资 产 安全 和 人 身 安全 的 重大 问题 。 所 以 网 络 安全 没有 理由 不 引起 
人 们 的 重视 。 ‘ 

鉴于 网 络 安全 技术 涉及 面 之 广 ， 远 非 一 章 内 容 可 以 涵盖 ， 华 为 ICT 学 院 特别 开设 了 
专门 的 安全 技术 课程 。 在 本 章 中 ， 考 虑 到 网 络 安全 技术 变化 速度 快 、 设 备 〈 操 作 系统 版 
本 ) 依赖 性 强 等 特点 ， 为 了 避免 读者 学 习 到 的 内 容 只 适用 于 极 少数 特殊 场合 、 或 者 读者 
所 学 很 快 就 会 过 时 ， 我 们 只 从 网 络 安全 技术 中 选取 了 两 项 在 各 类 网 络 中 都 普遍 适用 (而 
且 短 期 内 不 可 能 被 淘汰 ) 的 技术 框架 ( 即 AAA 和 IPSec) 进行 介绍 。 首 先 ， 我 们 会 从 如 
何 使 用 AAA 来 确保 设备 管理 访问 的 可 靠 性 开始 展开 介绍 ， 同 时 演示 如 何在 华为 本 地 或 者 
通过 远程 服务 器 来 对 设备 的 管理 员 进 行 身 份 认 证 。 接 下 来 ， 我 们 会 对 IPSec 这 个 比较 复 

杂 的 话题 进行 介绍 , IPSec 一 节 的 内 容 包 括 IPSec 这 个 框架 所 包含 的 内 容 、IPSec 框架 中 
各 组 成 成 分 为 保护 数据 传输 而 提供 的 服务 、IKE 协商 建立 SA 的 流程 、IPSec 的 封装 协议 
与 封装 方式 、 网 络 设备 封装 与 解 封装 数据 包 的 大 致 流程 ， 以 及 如 何在 两 台 华 为 设备 之 间 
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配置 建立 IPSec VPN。 在 9. 3 节 中 ， 我 们 会 摆脱 具体 的 技术 视角 ， 从 更 加 宏观 的 角度 看 
待 安全 问题 ,解释 构成 安全 的 三 大 要 素 以 及 TCP/IP 模型 各 层 中 有 可 能 出 现 的 网 络 攻击 


ETE 
天 » 


了 。 了解 AAA 所 包含 的 内 容 ; 
:3 。 理解 RADIUS 协议 的 封装 方式 及 工作 原理 ; 
 ，。 掌握 在 华为 设备 上 配置 本 地 认证 与 调试 本 地 授权 的 方式 ; 
[ 浊 包 通 过 A6 丰 服务 吾 为 年 为 设备 的 久 吉 由 提供 兴 话 的 方 并 
e 理解 IPSec 的 大 体 框 架 ; 
e 掌握 IPSec 两 种 封装 方式 的 异同 ; 
。 掌握 IKEv1 阶段 1 ( 主 模式 ) 的 协商 流程 ; 
。 掌握 IKEv1 阶段 2 的 协商 流程 ; 
。 掌握 ESP 提供 的 服务 和 ESP 的 封装 方式 ; 
。 了 解 AH 提供 的 服务 和 AH 的 封装 方式 ; 
e 理解 路 由 器 使 用 ESP 作为 IPSec 封装 协议 时 加 解密 数据 包 的 流程 ; 
。 理解 GRE 协议 的 原理 与 封装 方式 ; 
掌握 IPSec VPN 的 配置 方式 ; 
理解 CIA 三 要 素 的 内 容 即 它们 各 自 的 表意 ; 
ee。 了解 TCP/IP 模型 中 各 层 常 见 的 安全 问题 . 


中 站 地 
本 亲 六 市 亲 首 市 亲 放 和 闻 洒 贡 机 基准 人 才 


—- 





你 会 允许 阳 生 人 在 你 不 在 场 的 情况 下 随便 使 用 你 的 手机 吗 ? 我 想 不 会 ， 因 为 我 们 都 
知道 这 样 太 不 安全 了 。 网 络 设 备 当然 不 能 任 由 局 外 人 来 进行 管理 。 只 有 人 负责 设备 管理 的 
人 才能 参与 设备 官 理 ， 这 是 一 切 网 络 安全 、 信 息 安 全 、 数 据 安 全 的 基本 前 提 。 如 果 任 何 
人 都 可 以 常理 设备 ， 然 后 让 设备 根据 目 己 的 目的 执行 操作 ， 那 么 这 些 设备 上 实施 了 再 好 
- 的 安全 策略 也 是 形同虚设 。 

你 会 允许 不 熟悉 的 人 在 你 不 在 场 的 情况 下 随便 使 用 你 的 电脑 吗 ? 也许 会 ， 前 提 是 你 
给 目 己 的 计算 机 设置 了 一 个 访客 账户 ， 并 且 给 访客 账户 设置 了 有 限 的 访客 权限 。 网 络 设 
备 管理 也 可 以 采取 这 样 的 办 法 ， 也 就 是 给 不 同 管理 员 分 配 不 同 的 账户 ， 每 个 账户 拥有 不 
同 的 管理 权限 。 

你 想 了 解 不 熟悉 的 人 在 你 不 在 场 时 ， 在 你 的 电脑 上 执行 了 哪些 操作 吗 ? 有 可 能 吧 ， 
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尤其 是 在 你 的 电脑 在 他 /她 使 用 之 后 出 现 了 问题 的 这 种 情况 下 。 比 起 一 台 个 人 计算 机 ， 
对 于 部 署 在 复杂 环境 中 的 网 络 设备 来 说 ， 记 录 和 观察 设备 各 个 用 尸 所作 的 管理 操作 万 
为 重要 。 

既然 上 面 这 些 需求 对 于 网 络 安全 如 此 重要 ,我 们 当然 要 在 网 络 安全 技术 的 9. 1 节 中 ， 
对 这 些 功能 所 对 应 的 技术 作 一 番 介 绍 说 明 。 


9.1.1 AAA 简介 


实际 上 ， 有 些 读 者 在 看 到 AAA 时 ， 可 能 会 感到 莫名 的 熟悉 ， 这 是 因为 《网 络 基础 》 
第 9 章 曾经 不 只 一 次 提 到 过 这 项 技术 。 我 们 当时 提 到 这 项 技术 的 背景 是 要 给 远程 管理 协 
议 配 置 一 种 认证 模式 。 在 给 Telnet 协议 配置 认证 模式 时 ,我 们 没有 选择 AAA 认证 ， 而 是 
直接 使 用 了 密码 认证 ;， 到 了 配置 SSH 协议 时 ， 我 们 曾经 提 到 ，SSH 文 持 的 认证 模式 只 有 
AAA， 因 此 我 们 首先 将 vty 线路 下 默认 的 认证 模式 修改 为 了 AAA， 然后 才 成 功 配置 SSH 认 
证 。 在 配置 了 SSH 认证 之 后 ,我们 还 进入 到 了 AAA 视图 下 ,配置 了 认证 的 用 户 名 和 密码 ， 
同时 指定 了 使 用 AAA 执行 认证 的 服务 类 型 。 当 然 ， 在 那 一 章 中 ， 我 们 并 没有 对 AAA 的 概 
念 进行 详细 的 说 明 ， 很 多 读者 也 许 在 读 到 那里 时 会 将 AAA 理解 为 是 华为 设备 上 提供 的 一 
种 给 远程 管理 协议 提供 用 户 身份 认证 的 技术 。 
实际 上 ,AAA 既 不 是 一 项 协议 ， 也 不 是 一 项 技术 ， 而 是 三 项 独立 安全 功能 的 总 称 ， 
这 三 项 安全 功能 分 别 为 认证 (Authentication ) 、 授 权 (Authorization 和 审计 
(Accounting) 。 在 配置 Telnet 和 SSH 协议 时 ， 我 们 只 用 到 了 AAA 中 的 第 一 个 A， 也 丈 
是 认证 。 下 面 ， 我 们 分 别 对 这 三 个 A 的 表意 进行 一 个 简单 的 说 明 。 
。 ”认证 :通过 SSH 的 实验 ， 读 者 频 该 也 理解 了 认证 功能 的 作用 。 认 证 功能 则 在 通 
过 用 户 提供 的 用 户 名 、 密 码 等 信息 来 区 分 他 /她 是 否 有 权限 访问 (他 /她 正在 试 
图 访问 的 ) 资源 。 这 也 就 是 说 ， 认 证 就 是 健身 俱乐部 的 会 员 卡 ， 前 台 会 在 人 们 
进入 健身 俱乐部 时 查验 会 员 卡 。 只 有 那些 有 于 的 人 员 才 可 以 使 用 俱乐部 中 的 健 
有 身 右 械 资 源 。 训 
。 ”授权 : 授权 功能 则 在 根据 用 户 的 属性 (比如 用 户 名 ) 来 区 分 他 /她 有 权限 执行 哪 
些 操作 。 读 者 也 许 还 眠 得 《网 络 基础 》 第 2 章 中 ， 我 们 曾经 提 到 VRP 系统 是 区 
分 用 户 等 级 和 命令 等 级 的 ， 不 同 级 别 的 用 户 可 以 执行 不 同 级 别 的 命令 ， 这 种 根 
据 用 户 级 别 决 定 其 可 以 执行 的 操作 管理 就 属于 授权 功能 的 范畴 。 所 以 ， 授 权 是 
根据 健身 卡 的 等 级 来 判断 一 位 会 员 是 否 有 权 使 用 健身 资源 ， 银 牌 会 员 只 能 操作 
跑步 机 区 域 的 设备 ， 金 牌 会 员 可 以 使 用 跑步 机 区 域 、 组 合 器 械 区 域 和 自由 器 械 
区 域内 的 设备 ， 和 白金 会 员 在 金牌 会 员 的 基础 上 还 可 以 使 用 游泳 池 ， 钻 石 会 员 在 
金牌 会 员 的 基础 上 可 以 使 用 网 球场 ， 这 就 属于 授权 功能 的 范畴 。 
。 ”审计 : 审计 在 这 里 也 可 以 翻译 为 记 账 或 者 计 费 。 审 计 功 能 的 作用 是 记录 各 个 用 
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已 在 访问 期 间 所 执行 的 操作 。 审 计 的 功能 之 前 并 没有 在 本 系列 教材 中 出 现 过 ， 
这 部 分 内 容 超出 了 本 系列 教材 的 范围 , 这 里 不 作 过 多 介绍 , 实验 中 也 不 作 演示 。 
对 审计 拉 术 司 兴 趣 的 读者 , 可 以 诬 下 辣 教 师 请 教 、 合 询 华 为 公司 官方 技术 文档 ， 
或 者 继续 学 习 华 为 ICT 学 院 安全 技术 的 课程 。 


注 料 : 
本 书 以 审计 作为 Accounting 的 对 译 ， 以 计 费 作为 Billing 的 对 译 。 


网 络 设 备 可 以 通过 两 种 不 同 的 方式 对 发 起 管理 访问 的 胡 户 执行 认证 、 授 权 和 审计 ， 
其 中 一 种 方式 是 在 本 地 完成 的 ， 如 图 9-1 所 示 。 也 就 是 说 ， 网 络 设备 通过 目 己 本 地 数据 
库 中 的 信息 来 完成 身份 验证 、 权 限 指定 和 操作 记录 。 我 们 在 《网 络 基础 》 第 9 章 采 用 的 
a 





我 的 用 户 名 是 TianGuo 
| 密码 是 Huawei@123 路 由 器 本 地 数据 库 - 
NS 用 户 名 : TianGuo 


NT 密码 : Huawei@123 
你 可 以 访问 ， 但 不 许 进入 
系统 视图 





| 
图 9-1 本 地 AAA 的 工作 方式 示意 


男 一 种 方式 是 通过 外 部 的 AAA 服务 器 来 完成 。 当 用 户 向 网 络 设备 发 起 管理 访问 时 ， 
网 络 设备 向 位 于 指定 地 址 的 AAA 服务 器 发 送 查 询 信 息 ， 让 AAA 服务 器 判断 是 否 允 许 这 位 
用 户 访问 ， 以 及 这 位 用 户 拥 有 什么 权限 等 ， 如 图 9-2 所 示 。 

在 图 9-2 所 示 的 环境 中 ， 管 理 员 访问 路 由 器 时 使 用 的 是 Telnet 或 SSH 这 类 远程 管 
理 协议 。 然 而 ， 被 管理 设备 与 AAA 服务 器 之 间 通 信 时 使 用 的 又 是 什么 协议 呢 ? 关于 这 个 
问题 ， 我 们 留待 9. 1. 2 节 再 进行 解释 。 


9.1.2 RADIUS 协议 简介 


在 实际 网 络 环境 中 ， 确 实 有 不 少 设备 在 本 地 执行 AAA 功能 。 然 而 ， 当 网 络 中 有 大 量 
设备 需要 管理 ， 同 时 网 络 中 又 需要 部 壮大 量 不 同 级 别 的 用 户 时 ， 管 理 员 就 难免 需要 逐个 
设备 地 进行 配置 。 在 有 任何 与 AAA 相关 的 配置 需要 修改 时 ， 管 理 员 还 需要 逐个 设备 进行 
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修改 。 这 样 不 仅 会 增加 管理 员 的 工作 负担 ， 同 时 还 会 增加 配置 错误 的 几率 。 


管理 员 路 由 器 A 


(被 访问 设备 ) 了 


Fr 
f 


帮 有 我 查 查 这 个 用 户 ， 用 户 
名 是 TianGuo， 密 码 是 
Huawei@123， 他 合法 吗 ? 










我 的 用 户 名 是 TianGuo 
密码 是 Huawei(@123 





你 可 以 访问 ,但 不 许 进入 
系统 视图 

1jw 

图 9-2 通过 AAA 服务 器 执行 AAA 的 工作 方式 示意 


与 在 设备 本 地 执行 AAA 操作 相 比 ， 通 过 AAA 服务 器 来 为 网 络 集中 提供 AAA 服务 最 直 
接 的 优势 来 源 于 扩展 性 。 因 此 ， 在 中 到 大 规模 网 络 中 ， 图 9-2 所 示 的 这 种 依靠 AAA 服务 
器 来 集中 提供 AAA 服务 的 做 法 更 加 和 常见。 在 这 种 环境 中 ， 人 们 当然 需要 定义 二 种 被 访问 
设备 /资源 与 AAA 服务 器 之 间 通 信 的 标准 ， 而 我 们 在 9..1. 2 节 中 要 进行 介绍 的 RADIUS ， 
就 定义 了 AAA OP AAA 相关 通信 服务 的 标准 。 


注 猴 : 

在 认证 访问 环境 中 , 被 访问 设备 一 般 称 为 网 络 访问 服务 器 (Network Access Server ) ， 
简称 NAS。 不 过 ，NAS 虽然 名 为 服务 器 ， 但 它 在 AAA 通信 环境 中 扮演 的 角色 显然 是 
RADIUS 客户 端 ，AAA 服务 器 才 是 RADIUS 服务 器 i 由 于 我 们 担心 第 一 次 接触 这 个 概 
念 的 用 户 容易 根据 字面 意思 , 将 NAS 理解 为 RADIUS 服 务 器 或 者 AAA 服务 器 ， 因 此 我 
们 在 下 文中 还 是 会 继续 使 用 表意 更 加 明确 的 “被 访问 设备 ”一 词 。 


RADIUS 全 称 是 远程 认证 拨 入 用 户 服务 (Remote Authentication Dial In User 
Service) ， 是 一 项 通过 UDP 提供 传输 层 服务 的 应 用 层 协议 。 最 初 ，RADIUS 服务 器 通过 
1645 端口 提供 认证 和 授权 服务 ， 通 过 1646 端口 提供 审计 服务 ;但 由 于 这 两 个 端口 分 别 
与 另外 两 个 协议 的 常用 端口 号 相 神 突 。 目 前 ，RADIUS 通过 1813 端口 提供 认证 和 授权 服 
务 ， 通 过 1814 端口 提供 审计 服务 。RADIUS 定义 的 消息 封装 格式 如 图 9-3 所 示 。 

学 习 到 这 个 阶段 的 读者 应 该 早已 有 能 力 目 己 判 断 出 前 三 个 字段 的 作用 。 在 前 三 个 字 
段 中 , 代码 字段 的 作用 是 标识 这 个 RADIUS 消息 的 类 型 ; 标识 符 字段 的 作用 是 标识 RADIUS 


—— 
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请 求 消 息 与 啊 应 消息 之 间 的 对 应 关系 ; 数据 长 度 字 段 的 作用 则 是 标识 (包含 图 9-3 所 示 
全 部 字段 的 ) 整个 RADIUS 消息 的 长 度 。 





32 比特 
图 9-3 RADIUS 消息 封装 格式 


除了 这 三 个 字段 之 外 ， 认 证 码 池 段 的 作用 是 让 被 访问 设备 (如 图 9-2 中 的 路 由 峰 ) 
认证 它 接 收 到 的 响应 消息 是 否 真 的 是 由 它 请 求 的 那 台 AAA 服务 器 (如 图 9-2 中 的 AAA 服 
务 器 ) 啊 应 的 。 当 AAA 服务 器 啊 应 一 台 被 访问 设备 时 ， 它 会 使 用 请 求 消息 中 的 加 密 密 钥 
与 啊 应 数据 一 起 计算 出 一 个 MD5 散 列 值 。 在 被 访问 设备 接收 到 来 目 AAA 服务 器 的 啊 应 消 
息 时 ， 它 也 会 同样 使 用 响应 消息 中 的 值 与 自己 之 前 发 送 给 AAA 服务 器 的 共享 密 钥 计算 出 
一 个 MD5 散 列 值 。 如 条 两 个 值 相等 ， 就 代表 这 个 响应 消息 不 是 由 未 授权 设备 伪 闭 的 AAA 
服务 器 发 送 的 啊 应 消息 。 

属性 字段 是 一 个 可 变 长 度 字段 。 一 个 RADIUS 消息 中 可 以 包含 多 个 属性 字段 。 其 中 
每 个 属性 字段 都 包含 4 比特 的 类 型 字段 〈 用 来 标识 这 个 属性 字段 携 融 的 属性 值 类 型 ) 、4 
比特 的 长 度 宇 段 和 一 个 可 变 长 度 的 属性 值 字段 ， 这 个 属性 值 会 提供 一 些 与 AAA 服务 相关 
的 重要 信息 ， 比 如 用 户 提 供 的 用 户 名 、 用 户 提供 的 密码 、 被 访问 设备 的 IP 地 址 、 被 访问 
设备 使 用 的 端口 与 等 。 显 然 ， 不 同类 型 消息 经 常 也 会 携 市 不 同 的 属性 。 

既然 前 面 提 到 了 代码 字段 ， 在 这 就 不 得 不 提 到 RADIUS 消 姑 的 类 型 。 虽 然 代 人 码 字 有 段 
保留 了 8 比特 的 长 度 ， 但 目前 RADIUS 定义 的 消息 类 型 并 不 算 多 ， 其 中 包括 《但 不 限于 ) 
访问 请 求 (Access-Request ) 消息 《代码 值 为 0x1) 、 访 问 接受 (Access-Accept) 消 县 
(代码 值 为 0x2) 、 访 问 拒 绝 CAccess-Reject) 消息 〈 代 码 值 为 0x3) 、 审 计 请 求 
(Accounting-Request) 消息 《代码 值 为 0x5) 、 审 计 啊 应 (Accounting-Response) 消 
县 《代码 值 为 0x5) 、 访 问 挑 战 (Access-Challenge) 消息 (代码 值 为 0xb) 等 。 

在 一 个 部 署 了 远程 AAA 让 被 访问 设备 通过 RADIUS 协议 与 AAA 服务 器 交互 的 网 络 中 ， 
当 被 访问 设备 接收 到 用 户 发 送 的 用 户 名 和 密码 时 ， 这 人 台 设 备 会 封装 一 个 访问 请 求 消息 ， 
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将 用 户 名 和 使 用 共享 密 钥 加 密 过 的 密码 作为 属性 值 封装 在 访问 请 求 消息 中 发 送 给 AAA 服 
务 器 。AAA 服务 器 在 接收 到 这 个 访问 请 求 消息 时 ， 会 查询 自己 的 用 户 数据 库 ， 如 果 找 到 
了 对 应 的 用 户 名 ， 则 会 对 使 用 共享 密 钥 对 密码 进行 解密 ， 然 后 校 验 密码 是 否 正确 。 如 果 
密码 正确 ，AAA 服务 器 则 会 向 被 访问 设备 发 送 一 条 访问 接受 消息 ;如果 密码 有 误 ， 或 者 
AAA 服务 器 根本 没有 在 自己 的 数据 库 查 询 到 这 个 用 户 名 ， 那 么 AAA 服务 器 就 会 发 送 一 条 
访问 拒绝 消息 。 除 此 之 外 ,根据 设置 ，AAA 服务 器 也 有 可 能 在 核对 密码 无 误 之 后 ， 问 被 
访问 设备 发 送 一 条 访问 挑战 消息 ， 要 求 被 访问 设备 提供 更 多 信息 来 验证 访问 者 的 身份 。 
此 时 ， 被 访问 设备 也 会 要 求 访问 者 提供 进一步 的 信息 来 认证 目 己 的 访问 资格 ， 并 根据 
访问 者 提供 的 信息 再 次 加 AAA 服务 右 发 送 访问 请 求 消 和 县。 图 9-4 显示 了 以 此 成 功 认 证 
的 流程 。 


AAA 服务 器 


__ RADIUS 访问 请 求 消息 


RADIUS 访问 挑战 消息 


a i 


RADIUS 访问 请 求 消息 


RADIUS 访问 接受 消息 





图 9-4 AAA 服务 器 通过 RADIUS 执行 认证 (和 授权 〉 的 流程 


根据 RADIUS 协议 的 定义 ， 认 证 和 授权 的 交互 都 是 通过 在 相同 的 消息 中 封装 不 同 的 
属性 来 实现 的 。 但 审计 的 操作 需要 独立 通过 交互 审计 请 求 消息 和 审计 响应 消息 来 完成 。 
在 RADIUS 审计 消息 中 , 根据 审计 状态 类 型 这 个 属性 中 封装 参数 的 不 同 , 审计 请 求 消息 可 
以 分 为 (在 审计 开始 时 发 送 的 ) 审计 开始 请 求 消息 、〔 在 用 户 访问 过 程 中 发 送 的 ) 审计 
临时 更 新 请 求 消息 和 “(用户 健 下 访问 后 发 送 的 ) 审计 停止 请 求 消息 。 审 计 的 内 容 超 出 了 
本 书 的 知识 范围 ， 我 们 在 这 里 不 进行 著述 。 

除了 RADIUS 之 外 ,HWTACACS 也 可 以 用 来 充当 被 访问 设备 与 AAA 服务 器 之 间 交 互 AAA 
数据 的 通信 协议 。 关 于 HWTACACS 的 内 容 ， 本 书 不 再 作 进一步 介绍 ， 感 兴趣 的 读者 可 以 在 
完成 华为 ICT 学 院 的 课程 之 后 ， 通 过 向 任课 教师 请 教 、 访 问 华为 公司 的 官方 网 站 或 者 报 
名 华为 公司 认证 合作 伙伴 安全 方向 培训 课程 的 方式 ， 来 进一步 了 解 更 多 有 关 审 计 和 
HWTACACS 协议 的 信息 。 
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在 9.1.2 节 中 ， 我 们 对 RADIUS 的 基本 概念 、 数 据 封 装 结构 与 工作 原理 进行 了 梳 
理 。 在 9.1.3 节 中 ,我 们 会 通过 一 些 简单 的 实验 ,演示 如 何在 设备 本 地 对 用 户 进行 认 
证 和 授权 ， 以 及 如 何 让 被 访问 设备 通过 RADIUS 协议 与 远 端 AAA 服务 器 进行 通信 来 获 
取 用 户 认证 服务 。 


9.1.3 AAA 的 配置 


在 学 习 了 与 AAA 相关 的 理论 知识 ， 以 及 与 RADIUS 协议 相关 的 理论 知识 后 ，9. 1. 3 节 
将 为 读者 展示 如 何 利用 AAA 的 认证 功能 ， 在 远程 管理 华为 网 络 设备 时 ， 实 现 用 户 身 份 的 
认证 ， 防 止 非法 用 户 随意 登录 设备 。9. 1. 3 节 将 会 展示 两 种 认证 方式 : AAA 本 地 认证 和 
AAA RADIUS 服务 器 认证 。 本 

1，AAA 本 地 认证 4 

在 《网 络 基 础 》 第 9 章 ( 管 理 维护 ) 中 ， 我 们 介绍 远程 管理 华为 网 络 设备 的 两 种 方 
法 : Telnet 和 SSH。9. 1. 3 节 为 了 简化 配置 ， 突 出 重点 CAAA 相关 的 配置 信息 ) ， 我 们 使 
用 Telnet 作为 远程 登录 方式 。《 网 络 基 础 》 在 展示 如 何 使 用 Telnet 进行 远程 登录 时 ， 
使 用 的 认证 方式 是 密码 (password) 认证 。 为 了 提高 安全 性 ，9. 1. 3 节 通 过 Telnet 进行 
登录 时 我 们 使 用 AAA 进行 本 地 认证 。 案 例 使 用 的 网 络 环境 如 图 9-5 所 示 。 


RE AR1 


Telnet (AAA 本 地 认证 ) 
好 ee 
过 10.0.10.10/24 GO/0/0 2 


10.0.10.1/24 
图 9-5 使 用 AAA 本 地 认证 的 方式 进行 登录 验证 


* 





在 这 个 环境 中 ,我 们 要 在 路 由 器 ARl1 上 和 针对 Telnet 启用 AAA 本 地 认证 ,对 通过 Telnet 
向 AR1 发 起 管理 访问 的 用 户 进行 认证 。 用 户 只 有 输入 了 正确 的 用 户 名 和 密码 ， 才 能 够 成 
功 登 录 到 AR1。 

在 华为 网 络 设备 上 , 默认 情况 下 有 一 个 名 为 default 的 认证 方案 (authentication 一 
scheme) 。 管 理 员 不 能 删除 这 个 认证 方案 ， 但 能 够 对 其 进行 修改 。 在 认证 方案 default 
中 ,默认 的 认证 模式 为 本 地 认证 (local) ， 也 就 是 说 ， 路 由 器 会 使 用 本 地 数据 库 对 用 户 
的 登录 行为 进行 认证 。 在 这 个 案例 中 ， 我 们 就 直接 使 用 认证 方案 default， 并 且 保留 默 


” 认 的 认证 模式 local 不 做 修改 。 例 9-1 中 展示 了 AR1 上 默认 的 aaa 配置 信息 。 


例 9-1 AR1 上 的 相关 配置 信息 
[ARljaaa 

LAR1-aaajdisplay this 
[V200R003C00] 

+ 


aaa 


es OO 
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ienitication-scheme default 





1 


authorization-scheme default 


accounting-scheme default 


domain default 


[2 16 杀 ' 司 i 准 加 wu 
| | [| Els 划 HA el ep TP 
Es “deraui 

Be 





pp ai password cipher %$%$K8m. Nt84DZ] e#<0 8bmE3Uw} %$%s$ 


local-user admin service-type http 


return 


在 例 9-1 中 ， 管 理 员 先 使 用 系统 视图 命令 aaa 进入 了 AAA 视图 ， 然 后 在 AAA 视图 中 


使 用 了 命 


令 display this， 这 条 命令 能 够 查看 当前 视图 中 的 配置 命令 。 在 命令 display 


this 的 输出 内 容 中 ， 我 们 标记 出 了 两 个 阴影 行 。 


authentication-scheme default: 这 是 默认 的 认证 方案 default。 如 果 在 AAA 
视图 中 输入 命令 authentication-scheme default 的 话 ， 就 可 以 进入 default 
认证 方案 的 视图 ， 并 修改 default 中 的 参数 。 在 default 认证 方案 视图 中 ， 

管理 员 可 以 使 用 authentication-mode local 命令 设置 本 地 认证 模式 。 由 于 
这 是 默认 的 认证 模式 ， 即 使 管理 员 输 入 了 这 条 命令 ， 在 配置 中 也 是 看 不 到 这 
条 命令 的 ; 

domain default admin: 这 是 默认 的 管理 员 域 default adinin, 也 就 是 :通过 HTTP、 

SSH、Telnet、Terminal 或 FTP 方式 进行 设备 登录 的 用 户 所 属 的 域 。 如 果 在 AAA 
视图 中 输入 命令 domain default_admin 的 话 ， 束 可 以 进入 default_admin 域 
视图 ， 并 修改 这 个 域 中 的 参数 ,| 在 default_admin 域 视图 中 ， 管 理 员 可 以 使 用 
authentication-scheme et 命令 设置 为 这 个 域 的 用 户 使 用 default 认证 
方案 。 由 于 这 是 默认 的 认证 模式 ， 即 使 管理 员 输 入 了 这 条 命令 ， 在 配置 中 也 是 
看 不 到 这 条 命令 的 。 


对 于 通过 Telnet 的 方式 登录 设备 的 用 户 来 说 ， 用 户 属于 default_admin 域 ， 这 个 
域 使 用 默认 的 default 认证 方案 ，default 认证 方案 中 公设 置 了 默认 的 未 地 认证 模式 。 
在 这 个 层 层 嵌 套 的 配置 中 , 如 果 想 要 通过 AAA 本 地 认证 对 Telnet 进行 保护 的 话 , 管理 员 


无 需 进行 任 何 修改 。 因 此 接 下 夹 需 要 做 的 ， 是 创建 用 来 进行 Telnet 登录 的 本 地 用 户 ， 详 
见 例 9-2。 | 
例 9-2 在 AR1 上 创建 本 地 用 户 


[ARljaaa 


Info : 


[ARl-aaallocal-user userl eg cipher huaweilll 


Add a new user. 


[AR1-aaa]local-user Userl service-type telnet 


[AR1-aaajlocal-user user2 privilege level 15 password cipher huawei222 


-= 282 一 


第 9 章 ”网络 安 全 技术 


Info: Add a new user. 


[LARl~aaajlocal-user user2 service-type telnet 


在 例 9-2 中 ， 管 理 员 创建 了 两 个 本 地 用 户 : userl 和 user2。 在 创建 userl 时 ， 管 
理 员 只 指定 了 用 户 名 (userl1) 和 密码 (huaweill11) ， 并 且 把 userl 的 接 入 服务 类 型 设 
置 为 Telnet。 在 创建 user2 时 ,管理 员 除 了 指定 用 户 名 (user2) 和 密码 (huawei222)， 
并 且 把 user2 的 接 入 服务 类 型 也 设置 为 Telnet 外 ， 还 指定 了 user2 的 级 别 为 15， 也 就 
是 最 高 级 别 。 管 理 员 没 有 为 userl 指定 级 别 ， 因 此 userl 拥有 默认 级 别 0， 也 就 是 最 低 
级 别 。 

最 后 ， 管 理 员 还 需要 配置 VTY 线路 ， 把 它 的 认证 模式 设置 为 AAA， 详 见 例 9-3。 

例 9-3 设置 VTY 线路 的 认证 模式 


[ARl J]user—interface vty 0 4 
[AR1= 后 ta daa 


在 完成 了 本 地 用 户 的 创建 和 VTY 线路 的 配置 后 ， 管理 员 从 PC 上 向 AR1 发 起 Telnet 
连接 。 读 者 应 该 已 经 熟悉 在 PC 上 进行 Telnet 设置 ,使 PC 能 够 远程 管理 华为 路 由 的 操作 ， 
这 里 不 再 逐步 演示 , 而 是 直接 展示 Telnet 结 困 } 图 9-6 中 展示 了 管理 员 在 PC 上 使 用 userl 
进行 登录 的 结果 。 





Tp140.0.10.1 x | 4 





' EF ~ 


Login authentication 


Username:userl 


Password: 
<AR1 >? 
HUser view commands: 
| display Display information 
| hwtacacs-user HYTACACS user 
local-—user Add/Delete/Set user'(s) 
pina Ping function 
guit Exit from current mode and enter prior mode 
save Save file | 
| super Modify super password parameters 
telnet Open a telnet connection 
tracert <Group> tracert command group 
<AR1> 


图 9-6 使 用 userl 进行 登录 测试 


如 图 9-6 所 示 ， 审 理 员 使 用 userl 进行 了 登录 ， 成 功 登录 到 AR1 后 ， 输 入 问号 查询 
当前 能 够 输入 的 配置 命令 ， 发 现 命令 非常 有 限 ， 这 是 因为 userl 的 级 别 是 0。 图 9-7 中 
展示 了 管理 员 使 用 user2 进行 登录 的 结果 。 
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4710.0.10.1 x 


Login authentication 





Username:user2 
IJPassword: 
<AR1 2? 
IUser view commands: 
| arp-ping 
| autosave 
backup 
cd 
clear 
| clock 
cls 
CoMmMpare 
COpYy 
| debugging 
| delete 
dialer 
dir 
display 
factory-conftiguration 
fixdisk 
format 
free 
ftp 
help 
hwtacacs—user 
license 
lldp 
一 一 一 RE ==== 


Dc 


图 9-7 使 用 user2 进行 登录 测试 
从 图 9-7 中 我 们 可 以 看 出 ， 


入 问号 查询 当前 能 够 输入 的 配置 命令 ， 
user2 的 级 别 是 15， 也 就 是 最 高 级 别 ， 


ARP-ping 

《Group> autosave command group 
Backup information 

Chanee current directory 
Group> clear command group 
Spbecify the system clock 

Clear screen 

Compare configuration file 
Copy from one file to another 
《Group> debugging command group 
Delete a tile 

Dialer 

List files on a filesystem 
Display information 

Factory confieuration 

Try to restory disk 

Format file system 

Release a user terminal interface 
Establish an FTP cormection 
Description of the interactive help systen 
HWYTACACS user 

《Group> license comnand group 
Link Layer Discovery Protocol 








之 现 User2 
说 明 user2 和 有 











常理 员 使 用 user2 进行 了 登录 ， 成 功 登录 到 AR1 后 ， 输 
能 够 使 用 的 命令 非常 多 ， 这 是 因为 
E 够 使 用 全 部 命令 。 


通过 使 用 命令 display local-user， 管 理 员 可 以 查看 设备 本 地 配置 的 用 户 信 息 ， 
例 9-4 中 展示 了 AR1L 上 的 本 地 用 户 。 
例 9-4 查看 AR1 上 的 本 地 用 户 外 


[ARljdisplay local-user 


一 一 一 一 一 一 -一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


-~ 


User-name 





admin 
userl 


user2 


Total 3 user(s) 


-一 一 一 一 一 一 一 -一 一 一 一 一 -一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


了 -State AuthMask AdminLevel 





四 


A 日 - 
Rl - 
A T 15 





通过 例 9-4 所 示 的 命令 display local-user 输出 内 容 中 我 们 可 以 看 出 ， ARL1 上 有 3 
个 本 地 用 户 ，User-name (用 户 名 ) 分 别 是 admin、userl 和 user2。State (状态 ) 表示 


一 之 84 一 
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本 地 用 户 的 状态 : A 或 B，A 表示 Active，B 表示 Block。AuthMask 表示 本 地 用 户 的 接 入 
类 型 : 例 9-4 中 用 户 admin 的 接 入 类 型 为 H (HTTP) ，userl 和 user2 的 接 入 类 型 为 T 
(Telnet) ， 还 可 以 有 S (SSH) 、F (FTP) 等 。AdminLevel 表示 本 地 用 户 的 管理 员 用 户 
级 别 ， 从 这 里 也 可 以 看 出 ， 管 理 员 把 user2 的 级 别 设置 为 15。 

通过 使 用 命令 display local-user username wser-name， 管 理 员 可 以 查看 某 一 个 
本 地 用 户 的 信息 ， 例 9-5 中 展示 了 本 地 用 户 user2 的 信息 。 

例 9-5 查看 AR1 上 的 本 地 用 户 user2 


[ARl]display local-user username user2 2 


“The contents of local user (s): 


Password ® es 
State 2 dctiveE 
Service-type~mask : 了 * 
Privilege Levet ll 1l5 


Ftp-directory 
AeeGSs Timi ~ 
Accessed-num $0 | 
Toe Eo -二 


User-group 


由 于 管理 员 在 例 9-2 中 创建 本 地 用 户 的 用 户 名 和 密码 时 ， 对 密码 使 用 了 加 密 
(cipher) 选 希 ， 因此 例 9-5 的 命令 输出 内 容 中 看 不 到 用 户 user2 的 密 但 -= 

2. AAA RADIUS 服务 器 认证 

接着 我 们 来 展示 如 何 通过 在 RADIUS 服务 器 上 设置 用 户 名 和 密码 ， 来 为 Telnet 访问 
提供 认证 服务 。 这 个 案例 使 用 的 网 络 环境 如 图 9-8 所 示 。 


RADIUS 服务 器 









192.168.56.1/24 


GO/O/1 
192.168.56.2/24 


TeInet (RADIUS 认证 ) Rt 
Ps 
ARI 
~ 10.0.10.10/24 GO/0/0 
10.0.10.1/24 


图 9-8 使 用 RADIUS 服务 器 认证 的 方式 进行 登录 验证 





在 使 用 RADIUS 服务 器 进行 认证 的 环境 中 ， 管 理 员 首先 需要 配置 好 RADIUS 服务 右上 
的 参数 ， 比 如 RADIUS 共享 密 钥 、 用 户 (用 户 名 /密码 ) 等 。 管理 员 在 RADIUS 服务 器 上 创 


= 2 
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建 了 两 个 用 户 userl 和 user2。RADIUS 服务 器 的 配置 方式 并 不 是 9. 1. 3 节 的 重点 ， 因 此 


在 这 里 只 使 用 RADIUS 服务 器 来 展示 一 些 必 要 的 参 
数 信息 和 日 志 消 息 , 重点 仍 关 注 华 为 网 络 设备 (路 IMs 密 机: ome 本 一 一 一 一 一 一 
由 右 〉 的 配置 。 图 9-9 中 展示 了 RADIUS 服务 器 上 Mi: az 
设置 的 共享 密 钥 (huawei123) 和 认证 端口 (1812)， 计 到 DD: ai 
这 些 参 数 与 我 们 接 下 来 的 配置 相关 。 操作 维护 端 D: i515 
在 这 不 案例 中 ， 我 们 杨 赣 用 认 十 方案 人 ET 


三 在 系统 局 动 时 自动 加 载 


default， 并 把 其 中 的 认证 模式 从 默认 的 本 地 we | 取消 | 
(local) 模式 更 改 为 RADIUS 服务 器 模式 。 例 9-6 
展示 了 AR1 上 AAA 方案 的 配置 。 

例 9-6 在 AR1 上 更 改 AAA 方案 

[ARljaaa 


[ARi-aaa]jauthentication-scheme default 


图 9-9 RADIUS 服务 器 的 系统 设置 


[AR1-aaa-authen-default]authentication-mode radius 


在 例 9-6 中 ， 管 理 员 先 使 用 系统 视图 命令 aaa 进入 了 AAA 视图 ， 然 后 使 用 AAA 视图 
命令 authentication-scheme default 进入 了 认证 方案 default 视图 ， 在 这 里 使 用 命令 
authentication-mode radius 把 认证 模式 更 改 为 使 用 RADIUS 服务 占 进 行 认证 。 

接着 管理 员 要 在 ARL 上 配置 与 RADIUS 服务 器 相关 的 信息 ， 也 就 是 需要 创建 一 个 
RADIUS 服务 器 模板 ， 并 在 其 中 设置 与 RADIUS 服务 器 进行 通信 所 需 的 参数 ， 比 如 RADIUS 
服务 器 的 IP 地 址 和 共享 密 钥 。 例 9-7 中 展示 了 AR1 上 的 RADIUS 服务 器 模板 配置 。 

例 9-7 在 AR1 上 配置 RADIUS 脂 务 站 模板 


[AR1 |radius-server template radius-auth 

Info: Create a new server template. 

[AR1-radius-radius-atuthjradius-server authentication 192. 168. 56. 1 1812 

[AR1-radius-radius-auth]radius-server shared-key huaweil23 

从 例 9-7 所 示 命 令 我 们 可 以 看 出 ,管理 员 在 AR1 上 使 用 系统 视图 命 命令 radius-server 
template radius-auth 创建 了 RADIUS 服务 器 模板 radius-auth。 输 入 这 条 命令 后 ，AR1 
弹出 了 提示 信息 , 表示 新 的 服 竹器 模板 已 创建 , 同时 管理 员 进入 了 RADIUS 县 务必 术 多 
图 。 在 这 个 视图 中 ， 管 理 员 需 要 设置 AR1 与 RADIUS 服务 器 进行 通信 所 需 的 参数 。 命 令 
radius-server authentication 192. 168. 56. 1 1812 设置 了 RADIUS 服务 器 的 IP 地 址 
192. 168. 56. 1， 以 及 认证 端口 1812。 命 令 radius-server shared-key huaweil123 设置 
了 RADIUS 共享 密 钥 , 这 个 密 钥 需要 与 RADIUS 服务 器 上 配置 的 密 钥 相同 。 如 图 9-9 所 示 ， 
RADIUS 服务 器 上 设置 的 密 钥 是 huawei123, 因此 管理 员 在 AR1 上 也 需要 配置 同样 的 密 钥 。 

接着 由 于 进行 Telnet 认证 的 用 户 属于 域 default admin, 管理 员 需 要 在 这 个 域 中 指 
定 RADIUS 服务 器 模板 。 扶 认 情况 下 ， 域 中 是 没有 配置 RADIUS 服务 器 模板 的 ， 例 9-8 中 


-» BO 


展示 了 AR1 上 的 相关 配置 。 
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例 9-8 在 AR1 的 default admin 域 中 配置 RADIUS 服务 器 模板 


[AR1]aaa 


[ARl-aaaldomain default _ admin 


[AR1-aaa-domain-default adminjradius-server radius-auth 


如 例 9-8 所 示 ， 管 理 员 在 AAA 视图 中 使 用 命令 domain default_adnin 进入 了 


default_admin 域 视图 ， 在 这 里 使 用 命令 


radius-server radius-auth 配置 了 刚 创 建 的 


VTY 线路 的 配置 与 使 用 AAA 本 地 认证 相同 ， 仍 保留 认证 模式 AAA (authentication 一 


RADIUS 服务 器 模板 。 
mode aaa) 。 到 这 里 我 们 的 所 有 各 置 束 元 


用 户 userl。 


元 成 了 。 


例 9-9 在 AR1 上 使 用 命令 测试 了 RADIUS 


例 9-9 在 AR1 上 通过 命令 测试 RADIUS 用 户 


<ARl>test-aaa userl huaweilll radius-template radius-auth 


<AR1]> 


Info: Account test succeed. 


管理 员 在 例 9-9 中 使 用 命令 测试 了 userl 是 和 否 能 够 通过 RADIUS 的 认证 ， 从 而 检验 
AR1 与 RADIUS 服务 器 之 间 的 通信 和 是 否 正 常 。 从 AR1 的 系统 提示 消息 可 以 看 到 userl 测试 
成 功 。 图 :9-10 展示 了 RADIUS 服务 器 上 的 日 志 消 息 , 从 中 也 可 以 看 出 userl 通过 了 认证 。 


: ID 时 间 
1 2017 年 4 月 19 日 1 时 18 分 43 秒 
2 2017 年 4 月 19 日 1 时 18 分 57 秘 
3 2017 年 4 月 19 日 1 时 36 分 29 秒 
4 2017 年 4 月 19 日 1 时 36 分 29 秒 
5 2017 年 4 月 19 日 1 时 36 分 29 秒 
6 2017 年 4 月 19 日 1 时 36 分 29 秒 
7 2017 年 4 月 19 日 1 时 36 分 29 秒 
2017 年 4 月 19 日 1 时 36 分 29 秒 
9 2017 年 4 月 19 日 1 时 36 分 29 秒 
10 ”2017 年 4 月 19 日 1 时 36 分 29 秒 
11 ”2017 年 4 月 19 日 1 时 36 分 29 秒 
12 ”2017 年 4 月 19 日 1 时 36 分 29 秒 
13 ”2017 年 4 月 19 日 1 时 36 分 29 秒 
114 ”2017 年 4 月 19 日 1 时 36 分 29 秒 
15 ”2017 年 4 月 19 日 1 时 36 分 29 秒 


图 9-10 





Message Type=Access_Request 

ID=0, Length=126 

User name=User1 

CHAP password=?/H 惯 撤 A? 注 落 .? 
CHAP challenge=?i 药 HQ?YJ 旅 X) 
Service type=2 

Frame protocol=1 

NAS ID=ARI1 

NAS port type=15 

Session ID=AR100000000000000d38... 
NAS IP address=0 

用 户 (user1) 认 证 通过 v 


RADIUS 服务 器 日 志 “ 添 加 账号 和 认证 测试 ) 


下 面 我 们 来 测试 从 PC 向 AR1 发 起 Telnet 连接 ， 并 使 用 user2 进行 登录 ， 如 图 9-11 


所 未 。 


如 图 9-11 所 示 ， 管 理 员 使 用 user2 成 功 登 录 到 AR1 上 ， 但 无 法 执行 system-view 


命令 。 通 过 问号 但 看 当前 可 用 命令 ， 


升 配 置 级 别 ， 管 理 员 可 以 使 用 super 命令 


发 现 命令 很 少 ， 可 知 当前 的 配置 级 别 为 0。 要 想 所 
。 但 在 此 之 前 ， 管 理 员 先 要 在 AR1 上 配置 提升 


配置 级 别 时 的 认证 方式 ， 同 样 是 在 认证 方案 default 中 进行 配置 ， 详 见 例 9-10。 
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10.0.10.1 x 4 b 





] 
Login authentication 
|Usernanme:user2 
IPassword: 
User last login information 
Miccess Type: Telnet 
TP=ieddrese : 10, 0 40, 10 
Time : 2017=04=19 02:28:23=08: 00 
| CAR1 Ysysten-view 
|Error: Unrecognized command found at ” ” position. 
[<8R1>? 
1User view commarids: 
display Display intormatior 
hwtacacs-user HWTACACS user 
| local-user Add/Delete/Set user's) 
pineg Ping function 
| quit Exit from current mode and enter prior mode 
| save Save file 
| super Nodify super password parameters 
telnet Open a telnet cornnection 
| tracert <Groupn> tracert command group 
| <aR1> 
\ 
个 
Y 


图 9-11 使 用 user2 进行 RADIUS 服务 器 认证 


例 9-10 在 AR1 上 配置 提升 配置 级 别 的 认证 方式 

[AR1jaaa 

[ARl-aaalauthentication-scheme default 

[AR1-aaa=-authen-default]jauthentication-super Supes 

[ARi=-aaa-authen-default]jauit 

[AR1-aaajquit 各 

LAR1jsuper password level 15 cipher huaweil2345 

例 9-10 在 authentica 刀 on-super 命令 中 指定 关键 字 super， 表 示 当 管理 员 使 用 
super 命 命令 提升 配置 级 别 时 ， 使 用 本 地 认证 方式 ， 当 管理 员 使 用 super 命令 降低 配置 级 
别 时 ， 无 需 进 行 认证 。 之 后 管理 员 还 需要 在 系统 视图 中 指定 使 用 super 命令 提升 配置 级 
别 时 所 使 用 的 密码 ， ei | 9-10 中 的 命令 super password level 15 id huaweil2345 
表示 当 管 理 员 使 用 super 命令 ， 从 较 低 级 别 向 级 别 15 切换 时 ， 需 要 输入 密码 
huawelil12345。 

这 样 一 来 ， 通 过 RADIUS 服务 器 进行 认证 的 user2 在 登录 到 AR1 后 ， 可 以 使 用 super 
命令 获得 15 级 别 的 配置 权限 ， 如 图 9-12 所 示 。 
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(4710.0.10.1 x ab 








Login authentication 





IUsername:user2 
Password: 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


User last login intormation: 








Access Type: Telnet 
IP~Adidress : 10.0.10.10 | 








Time : 2017-04-19 02:;23:23-08:00 
| 《AR1 system-view “二 
Error: (Unrecognized command found at ’ ” position. 
<AR1>? 四 
User view commands: : 
display Display infoermation 
hwtacacs-user HWTACACS use 
local-user Add/Delete/Set user'(s) 
ping Ping function 
quit Exit fron current mode and enter prior mode 
Save Save tile 
super NModify super password parameters 
telnet Open a telnet connection 
tracert 《Group> tracert commarnd sr | 
<AR1 >super 15 | 
| Password: 


Now user privilege is level 15, and only those commands whose level is | 
equal to or less than this Jevel can be used. | 
-Privilege note: O-VISIT, 1-MONITOR, 2-SYSTEM, 3-MANAGE 
| <AR1 Ysystem-view - 
NEnter 2 View, return user view with Ctrl+z. a 
[AR1] 和 YY | 


图 9-12 使 用 super 命令 切换 配置 级 别 


”如 图 9-12 所 示 ， 管理 员 输 入 了 命令 super 15 后 ， 系 统 提示 管理 员 输 入 密码 ， 这 时 
输入 之 前 配置 的 密码 huawei12345， 系 统 会 提示 当前 级 别 已 经 提升 为 15 级 。 管 理 员 再 次 
使 用 system-view 命令 ， 这 次 顺利 进入 了 系统 视图 。 

接 下 来 使 用 命令 检查 AR1 上 的 RADIUS 配置 ， 管 理 员 可 以 使 用 命令 display radius- 
server configuration 来 查看 AR1 上 的 所 有 RADIUS 服务 器 配置 ， 详 见 例 9-11。 
例 9-11 在 AR1 上 查看 RADIUS 服务 器 模板 配置 


[AR1jdisplay radius-server configuration 


一 一 一 一 一 一 一 一 一 -- 一 一 -一 一 一 一 一 -一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


Protocol-version : standard 





Traffic-unit J 
5 





7 ln 80 7 12 
LoopBack:NULL Source-IP::: 
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Primary-accounting—-server 


Secondary-authentication-server 


Secondary-accounting-—server 


Retransmission 
EndPacketSendTime 

Dead time (in minute) 
Domain-included 
NAS-IP-Address 
NAS-IPv6-Address 
Calling-station-id MAC-format 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 — 








Total of radius template :1 


LoopBack : NULL 
LoopBack : NULL 


LoopBack :NULL 
3 


5 
YEs 


0. 0. 0.0 


入 义 久久 ”久久 XX 久久 久久 


:0 cs 


Source-IP:: 


:0 := 


Source—IP::: 


-) bse 


SoureeniPzs， 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


例 9-11 中 用 阴影 突出 显示 的 三 行 信 息 正 是 管理 员 在 AR1 上 配置 RADIUS 服务 器 模板 
radius-auth 时 ， 设 置 过 的 参数 : 名 称 (radius-auth) 、 
以 及 认证 服务 器 (192. 168. 56. 1) 和 认证 端口 (1812) 。 | 

自理 员 还 可 以 使 用 命令 来 查看 域 default_admin 的 配置 ， 详 见 例 9-12。 

例 9-12 在 AR1 上 查看 域 default admin 的 配置 


[AR1jdisplay domain name default admin 


Domain-name 

Domain-state 
Authentication-schemne-name 
Accounting-scheme~name 
Authorization-scheme-name 
Service-scheme-name 
RADIUS-server-template 
HWTACACS-server-template Pe:- 


User-group 


bl i 
: Active 
; default 
: default 


: - ' 


: radius-auth 


~ 
Ww 


共享 密 钥 (显示 为 加 蜜 形式) 


从 例 9-12 中 的 阴影 行 我 们 可 以 看 出 ， 域 default_admin 中 配置 了 RADIUS 服务 器 模 
板 radius-auth。 默 认 情 况 下 ， 域 中 是 没有 配置 任何 RADIUS 服务 器 模板 的 。 

9. 1.3 节 展 示 了 如 何在 华为 路 由 器 上 配置 基于 AAA 的 认证 ， 其 中 包括 使 用 路 由 器 本 
地 认证 ， 以 及 结合 RADIUS 服务 器 提供 认证 。9. 1. 3 节 没 有 涉及 RADIUS 服务 器 的 配置 ， 鉴 
于 RADIUS 是 工业 标准 ， 除 了 可 以 使 用 华为 Agile Controller 作为 RADIUS 服务 占 之 外 ， 
管理 员 还 可 以 根据 目 己 的 实际 情况 , 选择 使 用 任意 RADIUS 服务 器 与 华为 路 由 器 进行 配合 
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在 各 类 影视 剧 中 ， 彼 此 互 不 相识 的 人 在 需要 交流 一 些 命运 依 关 的 敏感 信息 时 ， 总 是 
需要 用 一 系列 手段 来 保障 这 些 信息 不 被 其 他 窃取 。 比 如 ， 人 们 会 用 接头 暗号 来 证 明 自己 
身份 的 真实 性 ， 防 止 其 他 人 员 冒 名 顶替 参与 交流 。 再 如 ， 人 们 会 事先 约定 好 一 本 图 书 ， 
然后 把 要 传递 的 文字 信息 用 一 系列 (与 该 图 书页 - 行 - 字 相对 应 的 ) 数字 的 形式 进行 传递 
这 样 哪怕 信息 在 传递 过 程 中 被 别人 监听 到 ， 不 知道 图 书 约定 的 人 也 无 从 了 解 双方 传递 信 
息 的 真实 表意 。 二 

同样 的 道理 ， 当 用 户 之 间 通 过 一 个 不 安全 的 公共 网 络 进行 通信 时 ， 如 果 通 信 的 内 容 
比较 敏感 ， 用 户 难 免 也 需要 有 一 鹤 机 制 能 够 确保 通信 的 安全 性 。 在 这 套 机 制 中 ， 有 很 多 
与 安全 有 关 的 问题 都 需要 解决 。 在 9. 2 节 中 ， 我 们 会 集中 探讨 用 户 通过 不 安全 网 络 进行 
通信 时 ， 如 何 通过 IPSec VPN 和 GRE 隧道 从 不 同 角度 保障 通信 数据 的 安全 。 


9.2.1 IPSec 简介 


学 习 到 这 个 阶段 的 读者 不 妨 进行 这 样 一 个 思想 实验 : 如 果 让 各 位 设计 一 个 包含 加 密 
功能 的 机 制 ， 来 保卫 用 户 之 间 穿 越 不 安全 网 络 的 通信 ， 那 么 这 个 机 制 应 该 在 封装 数据 的 
哪 个 阶段 来 实现 呢 ? 图 9-13 所 示 为 在 各 层 加 密 数 据 的 示意 图 。 


在 加 密 负载 之 外 封装 传输 层 头 部 


数据 链 路 层 头 部 网 络 技 头 部 传 答 层 关 部 (加 密 的 ) 负载 数据 链 路 层 尾部 


在 加 密 负 载 之 外 封装 网 络 层 头 部 : 


数据 链 路 层 头 部 网 络 层 头 部 “| (加 密 的 ) 负载 数据 链 路 层 尾部 


在 加 密 负 载 之 外 封 效 链 路 层 头 部 〈 和 尾部 ) : 


数据 链 路 层 头 部 (加 密 的 ) 负载 数据 链 路 层 尾部 


图 9-13 在 封装 各 阶段 执行 加 密封 装 的 可 能 












显然 ， 最 下 面 的 机 制 基 本 上 是 不 可 行 的 。 如 打 将 网 络 层 头 部 也 一 起 封装 在 了 经 过 加 
- 密 的 负载 中 , 那么 转发 设备 要 想 依据 数据 包 的 目的 IP 地 址 来 对 数据 包 进 行 转发 , 就 必须 
能 够 对 数据 包 进 行 解密 ,提取 出 这 个 数据 包 的 目的 IP 地 址 。 换 句 话 说 ,这 就 要 求 在 不 安 
全 的 网 络 中 ， 每 一 合 参与 转发 的 设备 都 拥有 对 负载 进行 解密 的 密 铀 。 这 当然 难以 实现 ， 
即使 能 够 实现 也 不 够 安全 。 

上 面 的 两 种 做 法 在 定义 时 曾经 经 过 了 讨论 。 最 终 导致 最 上 面 的 机 制 被 淘汰 的 原因 在 
于 实现 的 难度 。 在 应 用 层 《〈 或 传输 层 ) 对 数据 提供 安全 性 保护 的 前 提 是 应 用 层 的 进程 / 


> 
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系统 支持 这 样 的 功能 ， 这 就 要 求人 们 首先 必须 修改 所 有 的 应 用 进程 或 者 修改 所 有 的 操作 
系统 才能 实现 这 样 的 机 制 ， 此 外 ， 这 种 做 法 也 意味 着 加 密 与 解密 的 工作 被 全 部 提交 给 了 
终端 系统 的 用 户 , 这 与 网 络 应 该 尽 可 能 对 终 闪 用 户 隐 藏 技术 操作 的 目标 背道而驰 。 反 之 ， 
在 加 密 负 载 之 外 封装 网 络 层 头 部 的 做 法 可 以 由 路 由 需 来 实现 ， 解 密 则 由 接收 方 设备 所 连 
接 的 网 关 路 由 器 来 完成 ， 整 个 加 密 的 过 程 终端 用 户 有 可 能 完全 没有 参与 ， 甚 全 完全 感受 
不 到 。 于 是 ， 中 间 的 做 法 胜出 ， 在 网 络 层 提 供 安 全 机 制 更 适合 成 为 通信 各 方 跨 公 共 网 络 
建立 安全 通信 的 方式 。 
不 过 ， 在 人 们 研发 IPv4 的 年 代 ， 互 联网 络 (internet) 还 是 一 个 仅 用 于 学 术 研 究 
的 通信 平台 ， 因 此 这 一 版 的 互联 网 协议 (Internet Protocol) 并 没有 考虑 到 网 络 安全 的 
因素 ， 也 没有 给 在 网 络 层 提供 安全 性 保护 提供 扩展 空间 。 所 以 ， 人 们 必须 定义 一 个 新 的 
标准 来 提供 网 络 层 安 全 ， 这 个 新 的 标准 就 是 IP 安全 (IP Security) ， 人 条 称 为 IPSec。 
IPSec 并 不 是 一 项 协议 ， 而 是 一 个 高 度 模 块 化 的 框架 。 人 们 在 使 用 IPSec 来 保护 网 
络 流量 时 ， 不 需要 依赖 某 一 种 特定 的 加 密 算法 、 认 证 算法 、 封 装 协议 等 固定 搁 术 ， 而 是 
可 以 根据 自己 的 实际 情况 灵活 进行 选择 。 这 样 做 一 方面 是 为 了 让 使 用 者 可 以 根据 不 同 网 
络 的 客观 需求 ， 在 网 络 性 能 、 便 利 性 与 安全 性 三 者 之 间 达 到 最 理想 的 平衡 ， 规 避 了 强制 
所 有 使 用 者 都 消耗 大 量 网 络 性 能 来 执行 高 强度 安全 计算 的 方式 ; 男 一 方面 也 是 为 了 避 倪 
出 现 仅 仅 因 某 一 项 特定 安全 技术 (如 加 密 算法 ) 遭 到 破解 ， 就 给 整个 IPSec 带 来 毁灭 性 
影响 的 情况 。 ; 
总 体 来 说 ， 在 IPSec 定义 的 框架 中 ， 人 们 可 以 选择 的 因素 包括 。 
e ”两 种 可 供 选 择 的 封装 协议 : IPSec 框架 中 包含 了 两 种 封 逆 安全 消息 的 协议 。 其 
中 一 种 协议 叫做 封装 安全 负载 上 Encapsulating Security Payload) ,简称 ESP。 
ESP 可 以 提供 的 服务 包括 数据 加 密 、 通 信 方 身份 认证 和 完整 性 保护 ; 另 一 种 协 
议 叫 做 认证 头 部 (Authentication Header) ， 人 简称 AH。AH 只 能 为 封装 的 数据 
提供 通信 方 身份 认证 和 数据 完整 性 保护 ， 但 不 会 为 数据 提供 加 密 (所 以 说 ， 如 
果 使 用 AH 作为 IPSec 通信 的 封装 协议 ， 那 么 象 载 部 分 就 不 适合 使 用 图 9-13 中 
的 称谓 叫 作 加 密 负 载 ， 而 只 能 称 为 受 保护 数据 ) 。 目 前 ， 在 IPSec 协议 栈 中 ， 
使 用 包含 加 密 服 务 的 玉 SP 协议 作为 封装 协议 的 做 法 已 经 明显 鼎 主 导 地 位 。 目 前 ， 
如 果 使 用 IPSec， 则 华为 设备 上 默认 使 用 的 封 状 协 议 就 是 ESP 协议 ; 
。 封装 协议 使 用 的 加 密 算 法 和 认证 算法 : IPSec 框架 没有 定义 要 通过 哪 种 认证 算 
法 和 【如 使 用 ESP 作为 封装 协议 ) 加 密 算法 来 提供 加 密 和 认证 功能 ， 因 此 管理 
员 可 以 自由 选择 自己 希望 使 用 的 加 密 算 法 与 认证 算法 。 可 供 管 理 员 选择 的 认证 
算法 包括 MD5、SHA1、SHA2 等 ， 如 使 用 ESP 作为 封装 协议 ， 则 可 供 管理 员 选 择 
的 加 密 算 法 包括 3DES、DES、AES 等 。 当 然 ， 管 理 员 可 以 使 用 哪些 算法 也 取决 于 
管理 员 用 来 建立 IPSec 通信 的 设备 文 持 哪些 算法 决定 ; 
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。 如何 安全 地 生成 、 交 换 和 管理 密 钥 信息 : 如 果 密 钥 信 息 以 明文 的 方式 公开 地 在 
不 安全 网 络 中 进行 交换 ， 那 么 用 这 种 密码 加 密 的 密 文 ， 其 安全 性 也 很 难得 到 保 
障 。 在 IPSec 框架 中 ， 密 钥 是 通过 互联 网 安全 关联 密 钥 管理 协议 (Internet 
Security Association and Key Management Protocol，ISAKMP) 来 实现 的 。 
ISAKMP 名 为 协议 , 实际 上 同样 是 一 种 框架 。 ISAKMP 框架 建议 使 用 互联 网 密 钥 交 
换 (IKE) 协议 来 实现 安全 的 密 钥 交 换 ; 对 于 环境 十 分 简单 ， 发 起 方 和 接收 方 地 
址 几乎 不 会 变动 ， 对 于 安全 性 要 求 也 并 不 十 分 严格 的 环境 ， 管 理 员 也 可 以 通过 
手工 配置 来 完成 密 钥 管理 。IKE 目前 有 两 个 版 本 新 版 的 IKEv2 几 可 谓 新 鲜 出 
炉 ， 它 于 2014 年 的 10 月 见 请 于 REFC 文档 。 所 以 ， 管 理 员 现在 可 以 选用 传统 的 
IKE 协议 ( 即 IKEv1) 和 新 版 的 IKE 协议 〈 即 IEv2) 作为 ISAKMP 的 执行 协议 ; 


注 粹 : 

虽然 名 为 互联 网 密 钥 交换 ( Internet Key Exchange ) 协议 ,但 IKE 提供 的 服务 实际 上 
已 经 超出 了 为 IPSec 通信 双方 交换 密 钥 的 范畴 , 它 会 在 IPSec 通信 双方 之 间 建 立 并 维护 两 
条 安全 关联 。 考 虑 到 安全 关联 (Security Rosocintiob: SA ) 的 概念 比较 抽象 , 我 们 会 从 9.2.2 
节 开 始 ， 再 随 着 IKE 定义 的 工作 流程 慢 慢 引出 ， 这 里 暂 不 作 额 外 说 明 。 


。 ”使 用 哪 种 认证 算法 和 加 密 算法 来 安全 地 交换 密 钥 :在 通过 IKEv1 或 IKEv2 动态 
交换 管理 密 钥 的 过 程 中 ， 管 理 员 同样 可 以 选择 使 用 哪 种 认证 算法 和 加 密 算法 。 
关于 IKE 的 内 容 ， 我 们 会 在 后 文中 进行 进一步 的 介绍 ， 这 里 暂 不 袭 述 ; 

。 两 种 可 供 选择 的 封装 方式 : 关于 在 受 保护 的 负载 之 外 封装 网 络 层 头 部 ，IPSec 
定义 了 两 种 做 法 : 一 种 做 法 是 将 管理 员 选 用 的 IPSec 封装 协议 ， 封 装 在 传输 层 
头 部 之 外 ， 然 后 再 封装 网 络 层 头 部 ， 这 种 封装 方式 称 为 传输 模式 ， 另 一 种 做 法 则 
是 将 其 封装 在 网 络 层 头 部 之 外 , 然后 再 在 封装 后 的 受 保护 数据 之 外 再 封装 另 一 个 
网 络 层 头 部 ， 这 种 封装 方式 称 为 隧道 模式 。 在 9. 2. 4 节 (IPSec 的 操作 方式 ) 中 ， 
我 们 会 详细 介绍 IPSec 如 何在 这 两 种 模式 下 完成 IPSec 头 部 的 封装 。 

总 之 ， 我 们 9. 2. 1 节 的 重点 在 于 说 明 : IPSec 是 一 个 可 以 使 用 不 同 封装 协议 、 可 以 
选择 不 同 认证 与 加 密 算法 、 可 以 采取 不 同 密 钥 共 享 手段 、 同 时 还 拥有 不 同 封装 方式 的 网 
络 层 安全 框架 。 它 规避 了 只 能 使 用 特定 安全 算法 的 风险 ， 给 使 用 者 提供 了 灵活 多 样 的 安 
全 通信 选择 。 

为 了 帮助 读者 大 致 了 解 这 个 框架 为 用 户 提供 安全 服务 的 原理 ， 在 下 面 几 节 中 ， 我 们 
会 对 这 个 框架 涉及 的 很 多 方面 分 别 进 行 稍微 深入 一 些 的 介绍 。 


9.2.2 |KE 介绍 
关于 IKE， 我 们 在 9. 2.1 节 中 进行 了 简单 的 描述 。IKE 的 全 称 是 互联 网 密 钥 交换 
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(Internet Key Exchange) 。 顾 名 思 义 ，IKE 是 一 种 用 来 交换 和 管理 密 钥 的 协议 。 相 对 
而 言 ， 这 种 协议 定义 的 工作 流程 比较 复杂 。 在 9. 2. 2 节 中 ， 我 们 会 尝试 用 尽 可 能 简单 的 
方式 向 读者 对 IKE 的 大 致 工作 流程 进行 一 番 简 单 的 说 明 。 值 得 特别 提示 的 是 ， 我 们 选择 
在 9. 2.2 节 中 介绍 的 内 容 与 后 面 的 配置 工作 县 县 相关 。 如 果 不 能 谈 “ 通 ”9. 2.2 节 中 叙 
述 的 流程 ， 读 者 就 有 可 能 只 能 通过 机 械 记 忆 的 方式 实施 IPSec VPN 的 配置 ， 而 且 在 面 对 
排 错 问题 时 也 更 容易 一 筹 莫 展 。 


注 粮 : 

我 们 在 9.2.1 节 提 到 :2014 年 10 月 ,IKE 第 2 版 ( 即 IKEv2 ) 得 到 了 标准 化 ( RFC 7296 )。 
我 们 在 本 书 中 ， 只 对 IKEv1 进行 探讨 。 华 为 ICT 学 院 开 设 了 专门 的 安全 方向 。 在 安全 方 
向 的 配套 教材 和 课程 大 纲 中 ， 会 安排 更 多 章节 针对 IPSec 框架 中 的 技术 ， 包 括 IKE 的 各 
个 版 本 、( 各 步 中 的 ) 各 个 模式 进行 深入 和 全 面 的 介绍 。 在 华为 ICT 学 院 路 由 与 交换 方 
向 的 课程 体系 中 , 与 IPSec 相关 的 技术 只 占 了 一 节 的 篇 幅 , 请 恕 作者 不 得 不 在 IPSec 涉及 
的 庞大 内 容 体 系 中 作出 取舍 。 好 消息 是 ，IKEv2 对 IKE (v1 ) 进行 了 简化 ,掌握 了 传统 
IKE 协议 协商 过 程 的 读者 ， 完 全 有 能 力 通过 自学 迅速 掌握 IKEv2 的 工作 原理 。 

此 外 ， 由 于 IKEv2 是 一 项 很 新 的 技术 ， 因 此 目前 不 同 版 本 的 华为 VRP 在 执行 IKE 
协商 时 ,使 用 的 IKE 协议 版 本 是 不 同 的 ,而 执行 不 同 版 本 的 i eh IKE 
协商 。 因 此 读者 在 实际 配置 和 调试 IPSec VPN 时 ， 要 手动 设置 IKE 的 版 本 。 本 书 在 后 面 
的 实验 演示 部 分 , 也 只 会 演示 IKEv1 的 配置 方法 。 读 者 在 自学 了 IKEv2 的 基本 原理 之 后 ， 
完全 可 以 举一反三 ， 自 行 尝试 配置 IKEv2 协议 。 


为 了 从 无 到 有 ， 完 成 从 通过 无 安全 保障 的 环境 交换 密 钥 元 素 到 通过 有 安全 保障 的 环 
境 交 换 通 信 数 据 的 路 越 ，IKEvl 定义 了 一 个 两 步 走 (2 Phases ) A 
。 阶段 1 (Phase 1〉: 阶段 1 的 目的 是 建立 安全 通信 信道 。 此 时 ， 通 信 的 双方 都 
会 对 对 方 的 身份 进行 认证 ， 并 且 为 阶段 2 的 通信 建立 一 条 安全 的 通信 信道 。 在 
这 个 阶段 中 ，IKE 定义 了 两 种 模式 ， 一 种 模 武 称 为 主 模式 〈Main Mode) ， 男 一 
种 模式 称 为 野蛮 模式 〈Aggressive Mode) ; 
e。 阶段 2 (Phase 2) 名 阶段 2 的 目的 是 建立 安全 数据 信道 。 此 时 ， 通 信 双 方 基于 
阶段 1 对 对 方 身份 的 确认 ， 以 及 在 阶段 1 中 协商 建立 起 来 的 安全 通信 信道 ， 来 
协商 要 保护 的 通信 流量 ， 以 及 如 何 保护 该 通信 流量 。 阶 段 2 只 有 一 种 模式 ， 即 
快速 模式 (Quick Mode) 。 
我 们 先 来 从 阶段 1 说 起 。 在 阶段 1 协商 时 ，IKE 提供 了 两 种 模式 的 选择 ， 即 主 模式 
和 野蛮 模式 。 其 中 ， 主 模式 的 协商 可 以 在 执行 阶段 1 协商 的 过 程 中 ， 保 护 设 备 的 身份 信 
息 ， 但 需要 两 台 设 备 之 间 相 互 交 换 6 个 消息 ;而 野蛮 模式 则 不 会 在 阶段 1 协商 时 保护 设 
备 的 身份 信息 ， 但 双方 设备 只 需要 相互 交换 3 个 消息 就 可 以 完成 协商 。 所 以 ， 与 野蛮 模 
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式 的 协商 相 比 ， 主 模式 的 协商 更 加 安全 但 也 略 显 繁杂 。 在 阶段 1 中 ， 华 为 设备 默认 会 使 
用 主 模 式 来 执行 协商 。 因 此 ， 我 们 接 下 来 只 介绍 主 模式 的 协商 过 程 。 对 野蛮 模式 协商 感 
兴趣 的 读者 可 以 课 下 辐 任 课 教 师 请 教 、 目 行 参考 相关 技术 文档 或 者 参加 华为 ICT 和 学院 安 
全 方 回 课程 的 学 习 。 

首先 ， 要 建立 安全 通信 的 两 台 设 备 会 通过 第 1 个 和 第 2 个 消 奶 来 协商 它们 要 在 阶段 
1 中 使 用 的 安全 提议 。 这 些 安全 提议 包括 认证 方式 、 认 证 算法 、 加 密 算法 、DH 密 钥 交换 
参数 、 协 商 后 这 条 安全 信道 的 维持 时 间 等 。 

既然 是 协商 ， 当 然 是 有 商 有 量 。 发 起 协商 的 一 方 可 展 提 供 多 组 安全 提议 ， 每 组 安全 
提议 都 包含 一 套 各 自 ( 不 同 ) 的 认证 方式 、 认 证 算法 、 加 密 算法 、DH 密 钥 交换 参数 、 协 
商 后 这 条 安全 信道 的 维持 时 间 刍 8 接收 方 在 接收 到 这 些 信息 之 后 ， 用 管理 员 给 目 己 配置 
的 安全 提议 与 发 送 方 给 目 己 指定 的 安全 提议 进行 匹配 ， 然后 选中 匹配 的 提议 作为 啊 应 消 
息 反馈 给 协商 的 发 起 者 。 由 于 是 一 方 提出 供 对 方 选择 的 提议 ， 每 组 安全 提议 也 称 为 一 个 
IKE 安全 提议 〈IKE Proposal) 。 双 方 交 换 IKE 安全 提议 的 流程 如 图 9-14 所 示 。 


















AR2 上 配置 的 IKE 安全 提议 
| 安全 提议 一 1 安全 提议 二 
认证 方式 : 预 共 享 认证 方式 : rsa 签名 
1 认证 算法 : SHAT | 认证 算法 : AES-MAC-96 
加密 算法 : AES-CBC-256 | 加 密 算 法 : 3DES-CBC 
i 43200 i DH 组 : ] 
一 于 朴 86400 
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安全 提议 一 安全 提议 二 一 一， 
认证 方式 : 预 共享 1 认证 方式 预 共 享 : 
认证 算法 : MD5 | 认证 算法 : SHAIl | 
加 密 算 法 : AES-CBC-1921 加 密 算法 : AES-CBC-256; 
DH 组 : 2 | DH 组 : 5 | 
、 信 道 时 长 : 86400 信道 时 长 : 43200 
一 
mr 
哥们 儿 ， 你 的 俩 提议 我 都 看 了 ， 我 选 安全 提议 二 : 
认证 方式 : 预 共享 
认证 算法 : SHAI1 
加 密 算法 : AES-CBC-256 
DH 组: 5 
、 信 道 时 长 : 43200 区 
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图 9-14 IKE 阶段 1 主 模式 第 1 和 第 2 个 消息 
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如 图 9-14 所 示 ，AR2 在 接收 到 消息 之 后 ， 发 现 AR1 的 安全 提议 二 与 目 己 的 一 项 安全 
提议 相符 ， 于 是 在 (通过 第 2 个 消息 ) 响应 AR1 时 ， 提 出 自己 选择 了 第 二 项 安全 提议 。 

在 完成 了 第 1 个 和 第 2 个 消息 的 交换 之 后 ， 双 方 已 经 就 要 采用 的 安全 提议 达成 了 一 
致 。 在 第 3 个 和 第 4 个 消息 中 ， 双 方 会 相互 交换 一 些 与 密 钥 有 关 随 机 数 ， 然 后 再 各 上 自 通 
过 这 些 随机 数 ， 计 算出 一 致 的 密 钥 ， 如 图 9-15 所 示 。 
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图 9-15 IKE 阶段 1 主 模式 第 3-4 个 消 奶 


如 图 9-15 所 示 ， 双 方 通过 交换 一 些 计 算 密 钥 的 参数 ， 计 算出 各 自 相 同 的 密 钥 〈 即 
图 9-15 中 的 密 钥 K) ， 而 网 络 中 截获 到 这 些 参数 的 人 员 则 完全 无 法 通过 这 些 参 数 计 算出 
它们 使 用 的 密 钥 。 对 于 这 里 的 数学 原理 ， 我 们 会 在 9. 2. 3 节 中 进行 简单 说 明 ， 感 兴趣 的 
读者 可 以 通过 9. 2. 3 节 了 解 其 中 的 原理 。 

在 完成 了 前 面 4 个 消息 的 交换 之 后 ， 双 方 路 由 器 会 相互 交换 第 5 和 第 6 个 消息 来 认 
证 彼此 的 身份 。 这 时 ， 双 方 会 运行 散 列 函数 ， 将 它们 通过 第 1 和 第 2 个 消息 协商 出 来 的 
安全 提议 、 第 3 和 第 4 个 消息 计算 出 来 的 密 钥 、 自 己 的 (加密 点 ) IP 地 址 等 参数 计算 为 
一 个 散 列 值 ， 然 后 使 用 第 3 和 第 4 个 消息 计算 出 来 的 密 钥 对 这 个 散 列 值 进行 加 密 ， 再 发 
送 给 对 方 。 接 收 到 消息 的 设备 会 使 用 第 3 和 第 4 个 消息 计算 出 来 的 密 钥 对 自己 接收 到 的 
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散 列 值 进行 解密 ， 然 后 使 用 自己 拥有 的 参数 进行 散 列 计算 。 如 果 消 息 可 以 解密 ， 且 自己 
衣 列 计算 的 结果 与 解密 后 消息 中 携带 的 散 列 值 相等 , 则 代表 这 个 IP 地 址 所 代表 的 IPSec 
设备 映 份 是 真实 可 信 的 。 这 个 过 程 在 逻辑 上 与 我 们 在 5. 3. 2 节 《〈PPP 认证 ) 中 介绍 的 CHAP 
协议 有 些 类 似 ， 但 更 加 复杂 ， 我 们 在 这 里 不 作 歼 述 。 

至 此 ，IKE 阶段 1 主 模式 的 6 个 消息 已 经 全 部 交换 完毕 。 此 时 ， 双 方 设 备 已 经 确认 
了 对 方 的 喘 份 (是 真实 可 靠 的 ) ， 同 时 拥有 了 可 以 对 后 续 消 息 进 行 加 密 的 密 钥 。 所 以 ， 
我 们 称 通 信 的 双方 已 经 分 别 癌 对 方 建立 了 IKE 安全 关联 (Security Association) ， 简 
称 建立 了 IKE SA。 接 下 来 ， 双 方 设备 就 会 以 IKE SA 为 平台 ， 展 开 阶 段 2 的 协商 。 

阶段 2 只 有 一 种 模式 ， 那 就 是 快速 模式 (Quick Mode) 。 这 个 阶段 协商 的 目的 是 协 
商 双方 在 通信 过 程 中 要 进行 保护 芍 流 量 ， 同 时 协商 如 何 保护 这 个 流量 。 鉴 于 阶段 2 协商 
的 目的 是 保护 IP 通信 流量 的 安全 , 阶段 2 也 称 为 IPSec 阶段 , 这 个 阶段 中 协商 的 安全 提 
议 也 称 为 IPSec 安全 提议 ， 双 方 协商 建立 的 结果 称 为 IPSec 安全 关联 ， 即 IPSec SA。 

在 这 个 阶段 中 ， 双 方 需要 交换 3 个 消息 。 在 快速 模式 的 第 1 和 第 2 个 消息 中 ， 双 方 
需要 对 要 加 密 的 通信 流量 、 加 密 算 法 、 认 证 算法 、 封 装 协议 、 封 装 方式 、 密 钥 有 效 期 等 
信息 进行 协商 。 发 起 协商 的 一 方 可 以 提供 多 组 安全 提议 ， 每 组 安全 提议 都 包含 一 套 各 自 
(不 同 的 ) 信息 。 接收 方 在 接收 到 这 些 信息 之 后 ， 用 管理 员 给 自己 配置 的 安全 提议 与 发 送 
方 给 自己 指定 的 安全 提议 进行 匹配 ， 然 后 选中 匹配 的 提议 作为 响应 消息 反馈 给 协商 的 发 
起 者 。 在 发 起 者 接收 到 响应 之 后 ， 用 第 3 个 消息 对 此 进行 确认 ， 这 3 个 消息 全 部 都 会 使 
用 双方 在 阶段 1 中 计算 出 来 的 密 钥 进行 加 密 ， 上 述 流程 如 图 9-16 所 示 。 

如 图 9-16 所 示 ，AR2 在 接收 到 消息 之 后 ,发现 AR1 的 安全 提议 一 与 自己 的 一 项 安全 
提议 (安全 提议 二 ) 相符 ， 于 是 在 (通过 第 2 个 消息 ) 响应 AR1 时 ， 提 出 自己 选择 第 一 
项 安全 提议 。AR1 在 接收 到 AR2 的 选择 之 后 ， 通 过 第 3 个 消息 进行 了 确认 。 

在 完成 了 图 9-16 的 3 次 消息 交互 之 后 ， 从 AR1 去 往 AR2 和 从 AR2 去 往 AR1 流量 都 
会 按照 在 阶段 2 中 协商 好 的 方式 得 到 安全 保护 ， 双 方 各 自流 量 建立 起 来 了 一 条 去 往 对 方 
方向 的 IPSec SA。 至 此 ， 双 方 两 个 阶段 的 协商 也 就 完成 了 。 

每 当 一 条 IPSec SA 建立 起 来 ， 路 由 器 就 会 将 这 条 IPSec SA 保存 进 自己 的 一 个 安全 
关联 数据 库 (SA Database， 简 称 SADB) 中， 同时 将 针对 这 条 IPSec SA 定义 的 策略 ， 也 
就 是 我 们 在 IKEv1 阶段 2( 见 图 9-16) 中 提 到 的 那些 安全 提议 保存 进 一 个 安全 策略 数据 
库 (Security Policy Database，SPDB) 中 。 从 此 ， 每 当 路 由 器 发 送 IPSec 流量 时 ， 它 
都 会 使 用 待 发 送 流 量 的 信息 〈 如 源 IP 地 址 、 目 的 IP 地 址 等 ) 来 查找 自己 的 SADB， 以 期 
寻找 这 个 流量 所 对 应 的 SA。 在 找到 之 后 ，SADB 中 的 对 应 条 目 就 会 提供 一 个 指针 ， 指 向 
SPD 中 与 这 个 SA 对 应 的 策略 集 , 告诉 路 由 器 该 使 用 哪些 策略 对 这 个 流量 进行 处 理 。 同 理 ， 
当 接收 方 路 由 器 接收 到 IPSec 流量 时 ， 它 也 会 查看 SADB 来 寻找 这 个 流量 是 通过 哪 条 SA 
发 送 过 来 的 ， 然 后 根据 该 SA 指向 的 SPD 条 目 ， 寻 找 应 该 用 来 处 理 这 个 流量 的 策略 集 。 
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AR2 上 配置 的 IPSec 安全 提议 


一 一 一 -一 


安全 提议 一 /安全 提议 二 
加 密 流量 : 我 到 你 的 流量 | 加 密 流量 : 我 到 你 的 流量 ! 

-加密 算法 : AES-256 | 
认证 算法 : SHAI1 认证 算法 : SHA2-384 | 


wo, | 封装 协议 : ESP 
封装 协议 : AH | 
; i 封装 方式 : 隧道 模式 
Wy 隧道 模式 密 钥 有 效 期; 1 小 时 2 





ARI 





Internet 





一 一 -~ 


兄弟 ， 我 这 次 还 是 准备 了 2 套 方 案 ， 你 选 吧 : 。 







爱 全 提议 一 i 
| 加密 流量 : 我 到 你 的 流量 加 密 流 量 : 我 到 你 的 流量 
加 密 算 法 : AES-256 】 加 密 算法 : AES-192 

1 认证 算法 : SHA2-384 ”© 认证 算法 : SM3 

| 封装 协议 : ESP | 封装 协议 : ESP 

| 封装 方式 : 隧道 模式 。 | 封装 方式 : 隧道 模式 
侯 铀 有 效 期 : 1 小时” 密 钥 有 效 期 : 1 小 时 


>” > 一 | 
尘 
哥们 儿 ， 你 的 俩 方案 我 都 看 了 ， 我 选 方案 一 : \ \ 
加 密 流 量 : 我 到 你 的 流量 
加 密 算 法 : AES-256 
认证 算法 : SHA2-384 


封装 协议 : ESP 
封装 方式 : 隧道 模式 
密 钥 有效期 : 1 小 时 到 a 


we 


ee 


| 就 这 么 说 定 了 ”| 
图 9-16 IKE 阶段 2 快速 模式 协商 


IKE 的 流程 对 于 很 多 初学 者 来 说 都 不 容易 理解 ， 为 了 突出 重点 信息 ， 我 们 也 对 上 而 
所 示 的 过 程 进 行 了 适当 的 简化 。 读 者 如 来 布 望 顺利 理解 9.2.2 性 的 内 容 ， 应 该 在 学 习 后 
面 的 实验 章节 ， 以 及 使 用 本 书 配套 的 实验 手册 完成 配套 实验 时 ， 有 意 将 9. 2. 2 节 介 绍 的 
原理 与 配置 的 步骤 结合 起 来 。 在 实验 完成 之 后 ， 也 应 该 着 意 通 过 命令 去 查看 接口 、 流 量 
和 安全 关联 SA) 的 状态 ， 逐 渐 通 过 实际 操作 来 反哺 和 目 己 对 于 诛 理 的 认识 ， 这 一 点 对 于 
掌握 9. 2. 2 节 的 内 容 是 十 分 重要 的 。 

在 9. 2. 3 节 中 , 我 们 会 使 用 尽 可 能 简单 的 方式 , 说 明 9. 2. 2 市 中 的 路 由 器 AR1 和 AR2 
是 如 何在 主 模式 中 通过 第 3、 第 4 个 消息 交换 一 些 看 似 无 关 的 数值 ， 就 最 终 计算 出 相同 
密 钥 的 。 而 在 9. 2. 4 节 (IPSec 的 操作 方式 ) 中， 我 们 会 解释 完成 了 IKE 两 个 阶段 的 协 
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商 之 后 ，IPSec 设备 会 如 何 根据 IKE 阶段 2 协商 的 结果 (是 使 用 隧道 模式 的 封装 方式 还 
是 使 用 传输 模式 的 封装 方式 ) ， 来 执行 IPSec 封装 的 。 


*9.2.3 ”DH 算法 数学 背景 概述 


对 于 绝 大 多 数 读 者 来 说 ， 在 9. 2. 2 节 中 最 不 可 理喻 的 部 分 丽人 就 在 于 IKE 阶段 1 主 
模式 下 的 密 钥 计算 过 程 。 按 照 9. 2. 2 节 的 说 法 ，AR1 加 AR2 发 送 了 g、p、A 三 个 参数 ， 
而 AR2 则 给 AR1 发 送 了 参数 B。 于 是 ， 双 方 束 各 日 计 算出 了 相同 的 密 钥 。 

这 里 的 问题 是 ，AR1 和 AR2 是 如 何 计算 出 相同 密 钥 脚 。 如 果 它 们 可 以 计算 出 相同 的 
密 钥 ， 为 什么 发 起 中 间 人 攻击 并 且 截 获 了 这 些 参数 的 攻击 者 就 无 法 按照 相同 的 过 程 计 算 
出 这 个 密 钥 ? 在 9.2.3 节 中 ， 我 们 由 在 对 这 个 问题 进行 一 下 说 明 。 

在 9. 2.2 节 中 ， 我 们 曾经 提 到 ，AR1 与 AR2 在 阶段 1 主 模式 的 协商 中 ， 会 通过 第 1 
和 第 2 个 消息 相互 交换 DH 组 信息 。 这 里 的 DH, 全 称 为 Diffie-Hellman 算法 , AR1 与 AR2 
就 是 通过 这 种 算法 使 用 (第 3 和 第 4 个 消息 中 相互 交换 的 ) 参数 计算 出 一 致密 钥 的 。 

放生 国光 三 人 种 URL 会 通 汗 阳 困 法 仁 机 站 成 3 个 参数 《正六 数 》。 

。 p: 一 个 巨大 的 素数 ， 如 用 十 进 制 表示 有 数 百 位 ， 因 为 是 素数 (prime) ， 所 

。 18: 一 个 巨大 的 整数 ; 

说 明 | 

g 的 取 值 与 群 论 (Group Theory ) 有 关 〈g 是 群 <Z,， Xx > 中 一 个 p-1 阶 的 本 原 元 ) ， 
所 以 一 般 用 g 来 代表 这 个 参数 。 读 者 可 以 这 样 近似 理解 g 的 取 值 : g 不 必 是 素数 ， 也 不 
必 很 大 ， 但 它 的 各 次 才 除 以 素数 p， 要 得 出 尽 可 能 多 的 余数 。 当 然 ， 读者 可 以 忽略 这 个 
值 的 取 值 方法 。 


。 a: 一 个 小 于 p， 大 于 0 的 随机 数 ; 

接 下 来 ， 发 起 方 (AR1) 计算 出 整数 A， 使 A = gmod p 。 然 后 ， 将 整数 g、 质 数 p， 
和 在 这 里 计算 出 来 的 A 发 送 给 接收 方 (AR2) 。 

在 接收 方 接收 到 这 3 个 数 之 后 ， 接 收 方 也 会 随机 生成 1 个 小 于 p， 大 于 0 的 随机 数 

b， 并 且 计 算出 整数 B， 使 B = gmod p 。 然 后 ，B 发 送 给 接收 方 (AR2) 。 

到 现在 为 止 ， 双 方 已 经 完成 了 我 们 在 9. 2. 2 节 介 绍 的 IKE 阶段 1 主 模 式 下 第 3 和 第 
4 个 消息 的 交互 。 下 面 ， 我 来 解释 它们 如 何 用 这 些 参 数 计算 出 相同 的 密 钥 。 首 先 ， 我 们 
来 看 接收 方 CAR2) 。 


” 亦 译 为 质数 ， 即 只 能 被 自己 和 1 整除 的 数 。 
”缺乏 数论 背景 的 读者 可 以 这 样 理解 计算 的 结果 : A 是 g 的 a 次 方 除 以 p 所 得 的 余数 。 
* 即 B 是 g 的 b 次 方 除 以 p 所 得 的 余数 。 
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接收 方 在 接收 到 g、p、A， 并 且 生 成 了 随机 数 b 之 后 ， 就 已 经 可 以 计算 出 密 钥 K 了。 
计算 方法 是 K=A mod p 。 
发 送 方 在 接收 到 B 之 后 ， 也 会 用 自己 生成 的 随机 数 计算 出 密 钥 K。 计 算 方法 是 K=B modp 。 


注 糙 : 
A' modp= (gmodp) modp=g modp=K 
B'modp= (gmodp) modp=g modp=K 


从 数学 上 证 明 上 面 的 等 式 超 出 了 本 书 的 范畴 。 接 下 来 ， 我 们 来 看 一 看 如 果 有 中 间 人 
发 起 攻击 ， 它 是 否 能 够 计算 出 K。 

在 图 9-15 中 ， 有 中 间 人 截获 了 双方 的 通信 ， 于 是 这 个 人 得 到 了 参数 g、p、A 和 B。 
如 果 这 个 人 想 要 计算 出 K， 他 /她 需要 获得 AR1 生成 的 随机 数 a， 或 者 AR2 生成 的 随机 数 
b。 然 而 ， 根 据 g、p、A 计算 出 a， 或 者 根据 g、p、B 计算 出 b， 需 要 计算 离散 对 数 。 计 
算 离散 对 数 也 是 一 个 比较 复杂 的 话题 ， 我 们 在 这 里 不 作 进一步 讨论 。 

那么 ， 中 间 人 为 什么 不 能 像 AR2 那样 在 接收 到 g、p 和 A 之 后 ， 生 成 一 个 随机 数 c 
来 计算 出 一 个 密 钥 呢 ? 道理 也 是 显而易见 的 ， 因 为 这 个 密 钥 〈K'=As mod p) 在 数学 上 并 
不 等 于 K， 在 数字 上 等 于 K 的 几率 也 是 微乎其微 。 当 然 ， peace 
数 e 的 设备 执行 阶段 1 主 模式 的 协商 ， 那 么 AR1 也 会 使 用 它 〈 通 过 e 计算 着) 发 送 过 来 
的 C 计 算出 K'"， 并 用 kK' 作 为 它们 两 者 之 间 的 密 钥 。 

在 9.2.3 节 中 ， 我 们 说 明了 咀 算 法 的 原理 ， 对 它 的 有 效 性 作 了 简单 的 分 析 。 当然 ， 
对 于 那些 需要 借助 大 量 数学 背景 的 内 容 ， 我 们 进行 了 规避 。 对 于 加 密 算法 数学 背景 感 兴 
趣 的 读者 ， 可 以 在 课 后 选修 或 者 自学 数论 、 密 码 学 等 相关 课程 。 如 果 能 够 通过 9. 2. 3 节 
的 简单 介绍 ， 激 起 读者 探究 数论 和 密码 学 的 兴趣 ， 本 书 作 者 也 会 深 感 荣幸 。 


9.2.4 IPSec 的 操作 方式 


在 9. 2. 4 节 前 文中 曾经 提 到 过 ，IPSec 框架 定义 巴 两 种 通信 数据 封装 协议 〈ESP 与 
AH) 和 两 种 封装 模式 。 通 过 IPSece 建立 通信 的 双方 会 在 IE 的 阶段 2 中 完成 针对 通信 数 
据 封 装 协议 和 封装 模式 的 协商 名 . 于是， 在 双方 建立 了 双向 IPSec SA 之后， 它们 就 会 开 
始 按照 协商 过 的 协议 和 方式 来 封装 并 发 送 IPSec 消息 了 。 

AH 协议 全 称 认 证 头 部 (Authentication Header) 协议 ， 它 的 IP 协议 号 为 51。 在 
IPSec 框架 定义 的 通信 数据 封装 协议 中 ，AH 协议 定义 的 封装 方式 比较 简单 ， 这 个 协议 只 
定义 了 头 部 封装 ， 并 没有 尾部 封装 。 然 而 ， 这 项 协议 只 能 提供 完整 性 校 验 、 源 设备 认证 
” 即 K 是 A 的 b 次 方 除 以 p 所 得 的 余数 。 

“” 即 KK 是 B 的 a 次 方 除 以 p 所 得 的 余数 。 


”这 名 描述 同样 只 适用 于 双方 通过 IKEv1 建立 IPS$ec SA 的 情形 ， 若 通信 双方 使 用 IKEv2 建立 IPSec SA， 则 它们 会 
在 初始 交换 (Initial Exchange) 阶段 完成 上 述 协 商 。 


一 300.— 


第 9 章 ”网络 安全 技术 


和 反 重 放 攻 击 保护 , 它 不 会 对 自己 封装 的 数据 提供 加 密 , 这 是 AH 协议 目前 基本 已 经 被 弃 
用 的 原因 之 一 。AH 协议 定义 的 头 部 封装 格式 如 图 9-17 所 示 。 











8 比特 8 比特 ”16 比特 


安全 参数 索引 (SPLD) 


完整 性 校 验 值 















32 比特 
图 9-17 AH 封装 格式 









在 AH 定义 的 封装 字段 中 ， 大 多 数字 段 的 内 容 读者 完全 可 以 理解 ， 我 们 也 不 作 釜 述 。 
仅 对 下 面 两 个 字段 的 作用 进行 一 下 简单 的 说 明 。 

e ”安全 参数 索引 (CSPI) : SPI 的 作用 是 唯一 地 标识 一 条 SA。 这 也 束 是 说 ，IPSec 

通信 方 在 接收 到 这 个 AH 封装 的 消息 时 ,可 以 通过 SPI 字段 判断 出 这 个 消息 是 通 
过 哪 条 SA 发 送 过 来 的 ; 

9 序列 号; 序列 号 的 作用 是 标识 这 个 AH 消息 的 序号 .我 们 在 9.2.4 节 开始 时 说 过 ， 
AH 可 以 防止 重 放 攻击 。 简 单 地 说 ， 每 当 IPSec 通信 方 发 送 一 个 AH 消息 时 ， 它 
都 会 增加 序列 号 字段 的 值 来 标识 , 而 接收 方 如 果 发 现 某 个 IPSec 消息 姐 头 部 圭 
装 的 序列 号 值 与 自己 之 前 处 理 过 的 消息 相同 ， 就 会 视 该 消息 为 重 放 攻 击 而 丢弃 
这 个 IPSec 消息 ， 这 就 是 AH 协议 防止 重 放 攻 击 的 原理 。 

在 9.2.1 节 (IPSec 简介 ) 我 们 曾经 说 过 ，IPSec 可 以 让 管理 员 从 两 种 通信 数据 的 
封装 方式 中 进行 选择 。 其 中 传输 模式 是 将 管理 员 选 用 的 IPSec 封装 协议 ， 封 装 在 传输 层 
头 部 之 外 ， 然 后 再 封装 网 络 层 头 部 ， 而 隧道 模式 采用 的 做 法 则 是 将 其 封装 在 网 络 层 头 部 
之 外 ， 然 后 再 在 封装 后 的 受 保 护 数 据 之 外 再 封装 另 一 个 网 络 层 头 部 。 图 9-18 所 示 为 AH 
协议 在 这 两 种 模式 下 封装 的 应 用 层 消 息 〈 以 网 络 层 协议 为 IPv4 为 例 ) 

AH 协议 的 传输 模式 封装 : 


下 sc 应 用 层 消 息 


AH 协议 的 隧道 模式 封装 : 


新 IPv4 头 部 AH 头 部 原 IPv4 头 部 | | 








图 9-18 AH 协议 采用 隧道 模式 封装 与 传输 模式 封装 应 用 层 协议 消 妃 
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注 焙 ;: 

在 图 9-18 中 ,AH 头 部 下 一 个 头 部 字段 取 值 为 4, 是 因为 4 标识 的 是 IP-in-IP 封装 。 
当 设备 在 执行 ( 诸如 隧道 模式 AH 协议 这 类 操作 ) 将 一 个 IP 头 部 封装 在 另 一 个 IP 头 部 
时 ， (诸如 本 例 中 AH 头 部 封装 这 种 ) 内 层 IPv4 头 部 之 外 的 那 一 层 封 装 ， 会 以 0x04 这 
个 协议 号 标识 自己 里 面 封装 的 是 IP 协议 。 关 于 IP in IP 封 装 的 详细 解释 与 用 法 ， 读 者 可 
以 参阅 RFC 2003。 


关于 AH 协议 ， 还 有 一 点 必须 进行 说 明 。 读 者 在 看 到 图 9-18 时 ， 千 万 不 要 认为 AH 
头 部 只 会 校 验 其 内 部 封装 的 信息 。 实 际 上 ,AH 头 部 也 会 对 它 外 层 封装 的 IPv4 头 部 /新 IPv4 
头 部 《〈 除 服务 类 型 、 标 记 、 分 睛 偏 移 、 生 存 时 间 、 校 验 和 之 外 的 其 他 字段 ) 进行 校 验 。 
这 也 了 吏 是 说 ， 如 果 在 两 人 台 IPSec 设备 之 间 传 输 数 据 时 ， 数据 包 IPv4 头 部 的 其 他 字段 ( 包 
括 源 IP 地 址 和 目的 IP 地 址 字段 ) 发 生 了 变化 ， 那 么 这 个 数据 包 在 到 达 对 端 时 就 无 法 通 
过 完整 性 校 验 。 所 以 ， 使 用 AH 协议 封装 的 消息 是 不 能 通过 NAT (网 络 地 址 转换 ) 技术 转换 
地 址 的 。 于 是 ， 随 大 IPv4 地 址 越 来 越 稀缺 ， 能 够 校 验 外 层 头 部 这 个 原本 被 AH 的 支持 者 们 视 
为 优点 的 协议 特色 也 遭 反 戈 一 击 ， 似 乎 也 成 了 A 协议 日 渐 遭 受 冷落 的 男 一 个 原因 。 

与 AH 协议 相 比 ，IP 协议 号 为 50 的 封装 安全 负载 (Encapsulating Security Payload， 
即 ESP 协议 虽然 只 提供 ( 封 状 在 内 部 的 ) 负载 的 安全 性 服务 ， 但 是 它 可 以 在 完整 性 、 认证 
和 皮 重 放 攻击 之 外 进一步 为 封装 的 数据 提供 加 密 ， 保 障 了 数据 的 私密 性 。 此 外 ,隧道 模 式 的 
ESP 还 可 以 文 持 NAT。 因 此 ， 正 如 我 们 在 前 文 所 说 ， 目 前 使 用 ESP 作为 IPSec 的 通信 数据 圭 
装 协议 已 经 成 为 了 绝对 主流 的 做 法 。ESP 协议 定义 的 头 部 封装 格式 如 图 9-19 所 示 。 
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图 9-19 ESP 封装 格式 
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如 图 9-19 所 示 ，ESP 的 封装 分 为 了 头 部 尾部 两 部 分 ， 完 整 性 校 验 的 功能 放 到 了 ESP 
尾部 来 提供 。 使 用 ESP 协议 作为 封装 协议 ， 在 传输 模式 和 隧道 模式 下 封装 的 应 用 层 消 有 
如 图 9-20 所 示 。 


ESP 协议 的 传输 模式 封装 : 


3 ESP 尾部 
IPv4 
(加 密 ) 


ESP 协议 的 隧道 模式 封装 : 


. 原 IPv4 头 部 、 “| “ESP 尾部 \ 
新 DY4 头 亡 |Esp 头 部 | 协议 号 : 6 | “CP 头 部 | 数据 部 分 | 下 一 个 头 部 : 4| 完整 性 校 验 
协议 号 : 50 ba 加 密 (加 密 ) ee 


图 9-20 ”ESP 协议 采用 隧道 模式 封装 与 传输 模式 封装 应 用 层 消息 













如 图 9-20 所 示 , 通过 封装 ESP 协议 ， 从 ESP 头 部 字段 (不 含 ) 到 ESP 尾部 字段 ( 含 ) 
的 信息 都 会 《使 用 管理 员 选 择 的 加 蜜 协议 ) 进行 加 密 。 
在 这 里 有 一 点 必须 提醒 读者 ， 设备 在 对 数据 进行 解 封装 的 时 修 ， 绝 不 是 按照 图 9-20 
这 种 平面 示意 图 从 左 至 右 的 顺序 执行 解 封装 的 。 它 们 是 一 层 一 层 地 进行 解 封 的 。 因 此 ， 
请 不 要 看 到 下 一 个 头 部 字段 标识 在 图 9-20 的 倒数 第 2 部 分 就 感到 奇怪 。ESP 尾部 标识 也 
下 一 个 头 部 指 的 仍然 是 ESP 头 部 所 封装 的 头 部 ， 也 就 是 传输 模式 中 封装 的 TCP 头 部 或 者 
隧道 模式 中 封装 的 原 IPv4 头 部 。 那 么 ，IPSec 的 发 送 方 是 如 何 使 用 ESP 协议 封装 应 用 层 
消息 的 昵 ? 下 面 我 们 以 传输 模式 为 例 ， 说 明 一 下 这 个 封 闻 的 过 程 。 
概括 地 说 ， 完 整 的 IPSec 封装 流量 分 为 下 面 几 步 ; 
第 1 步 ” 当 发 送 方 IPSec 设备 想 要 使 用 ESP 协议 封装 一 个 应 用 层 消 息 时 ， 它 会 首先 
给 这 个 消息 及 其 TCP 头 部 封装 ESP 尾部 ，ESP 尾部 的 下 一 个 头 部 字段 指定 
下 一 个 头 部 为 TCP 头 部 ， 如 图 9-21 所 示 。 


四 A 
| TCP 头 部 | ”数据 部 分 | 


es 


ss 





发 送 方 IPSec 设备 
图 9-21 发 送 方 IPSec 设备 给 一 个 传输 层 TCP 数据 段 封 狼 ESP 尾部 


第 2 步 发 送 方 IPSec 设备 查询 SADB 中 这 个 SA 对 应 的 SPDB 条 目 , 确定 要 用 于 这 个 
消息 的 加 密 算 法 与 密 钥 ， 并 按照 这 个 SPDB 的 规定 对 图 9-21 所 示 的 3 部 分 
消息 进行 加 密 ， 如 图 9-22 所 示 。 


一 303 一 


高 级 网 络 技术 


ESP 尾部 
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- | 
| ”OP 基部 数据 部 分 pe 
: 下 一 个 头 部 : 6 
| ep | (加 密 ) 
加 密 
| | SPDB 
查询 A a 
加 密 算 法 : 从 ES-256 
散 列 算法 : SHAS.3 
发 送 方 IPsec 设备 | | 
站 We 


图 9-22 发 送 方 IPSec 设备 对 ESP 消息 执行 加 密 操作 
第 3 步 发送 方 IPSec 设备 给 消息 添加 ESP 头 部 ，ESP 头 部 中 的 SPI 来 自 于 SADB 中 
对 应 SA 条 目的 取 值 ， 如 图 9-23 所 示 。 







ESP 头 部 
SPI: 3253435302 





LA 


SA, 
Ispl: 3253435302 


: 


图 9-23 发 送 方 IPSec 设备 封装 ESP 头 部 
第 4 步 ”发 送 方 IPSec 设备 查询 SADB 中 这 个 SA 对 应 的 SPDB 条 目 , 确定 要 用 于 计算 
消息 的 散 列 算法 , 对 图 9-23 所 示 的 4 部 分 消息 执行 相应 的 散 列 计算 , 得 到 
完整 性 校 验 部 分 ， 并 执行 封装 ， 如 图 9-24 所 示 。 
第 5 步 ”发 送 方 IPSec 设备 封装 IPv4 头 部 。 因 为 IPv4 头 部 中 封装 的 头 部 为 ESP 协 
议 ， 所 以 IPv4 头 部 协议 字段 封装 的 参数 为 50。 至 此 ， 路 由 器 就 封装 出 了 
图 9-20 上 半 部 分 所 示 的 数据 包 。 
当 IPSec 接收 方 接收 到 这 个 消息 时 ， 它 的 解 封装 过 程 大 致 与 上 面 的 流程 相反 。 这 个 
流程 大 致 分 为 以 下 几 步 。 
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加 密 算法 : AES-256 





是 

图 9-24 发 送 方 IPSec 设备 封装 完整 性 校 验 部 分 

第 1 步 接收 方 IPSec 设备 根据 IPv4 头 部 协议 字段 的 取 值 ， 判 断 出 IPv4 头 部 中 封 
装 的 是 ESP 协议 。 于 是 ， 接 收 方 发 备 〈 根 据 ESP 头 部 封装 的 SPI 值 ) 查询 
SADB 中 这 个 SA 对 应 的 SPDB 条 目 , 确定 发 送 方 计算 完整 性 校 验 时 使 用 的 散 
列 算 法 ， 并 使 用 相同 的 散 列 算法 计算 ESP 消息 ， 将 计算 结果 与 封装 在 消息 
,最 后 的 完整 性 校 验 部 分 进行 比较 ，〔 如 果 通 过 完整 性 校 验 ) 并 解 封装 完整 


性 校 验 部 分 ， 如 图 9-25 所 示 。 
ESP 消 息 散 列 值 
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(SPI: - 32534353021 





读 取 查询 执行 计算 





人 


SADB \ / SPDB 


| 


\ 
\ 
NS 


SA: 策 略 





SA 
SP1:3253435304 
SA, 

1 SPI1: 3253435303 


加 密 算 法 : AES-256 
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图 9-25 接收 方 IPSec 设备 执行 完整 性 校 验 
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第 2 步 接收 方 IPSec 设备 解 封 装 ESP 头 部 ， 如 图 9-26 所 示 。 






ESP 头 部 
SPI: 3253435302 








接收 方 IPSec 设备 
图 9-26 接收 方 IPSec 设备 解 封装 ESP 头 部 
第 3 步 接收 方 IPSec 设备 查询 SADB 中 这 个 SA 对 应 的 SPDB 条 目 ， 确 定 发 送 方 IPSec 
设备 用 于 这 个 消息 的 加 密 算法 与 密 钥 ， 并 使 用 相同 的 加 密 算法 和 密 钥 对 
图 9-26 所 示 的 3 个 加 密 部 分 消息 执行 解密 ， 如 图 9-27 所 示 。 


SA; 策 略 


加 密 算 法 :人 AES-256 
散 列 算法 : SHA2-384 





图 9-27 ”接收 方 IPSec 设备 对 ESP 消息 执行 解密 操作 


第 4 步 接收 方 IPSec 讽 备 根据 解密 后 的 ESP 尾部 中 封装 的 下 一 个 头 部 消息 ， 判 断 
出 ESP 协议 中 封装 的 下 一 个 头 部 为 TCP 头 部 ， 并 对 这 个 ESP 尾部 执行 解 封 
装 ， 如 图 9-28 所 示 。 
全 此， 一 个 IPSec 消息 就 被 解 封装 为 了 一 个 普通 的 TCP 数据 段 。 当 然 ， 上 面 的 流程 
只 是 实际 操作 流程 的 简化 版 本 。 这 一 部 分 内 容 旨 在 以 IPSec 设备 使 用 传输 模式 ESP 协议 
封装 一 个 应 用 层 消息 的 情形 为 例 ， 帮 助 读 者 理解 IPSec 封装 与 解 封装 的 流程 。 
在 9. 2.4 节 前 面 的 内 容 中 ， 我 们 对 IPSec 框架 中 两 种 封装 协议 的 封装 格式 进行 了 简 
单 的 说 明 ， 并 且 以 应 用 层 消息 为 例 对 比 了 使 用 两 种 不 同 的 封装 模式 封装 协议 所 得 到 的 消 


re 
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上 县。 在 接 下 来 的 内 容 中 ， 我 们 以 传输 模式 封装 ESP 为 例 ， 大 致 说 明了 发 送 方 和 接收 方 封 
装 消 甩 和 解 封 闻 消 息 的 流程 。 最 后 ， 我 们 来 简单 概括 一 下 传输 模式 和 隧道 模式 在 使 用 环 
境 方面 的 建议 。 





4 
电 接收 方 IPSec 设 备 


图 9-28 ”接收 方 IPSece 设备 对 ESP 尾部 执行 解 封装 

无 论 执 行 哪 种 模式 的 封装 ， 当 这 个 (经 过 了 IPSec 封装 的 ) 消息 在 不 安全 网 络 中 进 
行 传输 时 ， 转 发 设备 都 会 使 用 封装 在 IPSec 头 部 (ESP/AH 头 部 ) 外 侧 的 那个 网 络 层 头 部 
执行 数据 包 转发 。 这 就 代表 不 安全 网 络 中 的 设备 必须 能 够 使 用 那个 网 络 层 头 部 中 所 载 的 
地 址 来 转发 这 个 数据 包 。 对 于 传输 模式 的 封装 来 说 ， 封 装 在 IPSec 头 部 之 外 的 网 络 层 头 
部 就 是 唯一 的 网 络 层 头 部 ， 这 个 头 部 所 载 的 地 址 信息 需要 有 能 力 让 这 个 消息 从 发 送 方 
IPSec 设备 发 送 给 接收 方 IPSec 设备 。 而 对 于 隧道 横 式 的 封装 来 说 ，IPSec 发 送 方 和 接收 
方 则 可 以 分 别 完 当 隧道 的 一 端 ，IPSec 发 送 方 接收 到 数据 源 设 备 发 送 过 来 的 IP 数据 包 ， 
对 这 个 IP 数据 包 执行 ESP 封装 ， 然 后 在 外 层 再 封装 这 一 层 IP 头 部 。 这 个 新 封装 的 IP 
头 部 所 载 的 地 址 信息 只 需要 有 能 力 将 这 个 消息 从 发 送 方 IPSec 设备 发 送 给 隧道 另 一 端的 
接收 方 IPSec 设备 即 可 。 当 接收 方 IPSec 设备 接收 到 这 个 数据 包 之 后 , 对 外 层 IP 头 部 和 
BSP 头 部 执行 解 封装 ， 然 后 根据 内 层 IP 头 部 查询 路 由 表 ， 将 其 发 送 给 信息 的 接收 方 。 

综 上 所 述 ， 如 果 通 信 数 据 的 发 送 方 和 接收 方 就 是 建立 IPSec SA 的 那 两 台 设备 ， 这 
种 情况 可 以 使 用 传输 模式 , 如 图 9-29 所 示 。 如 果 不 符合 这 个 条 件 , 则 需要 使 用 隧道 模式 。 
比如 ， 建 立 IPSec SA 的 两 台 设 备 分 别 是 两 个 站 点 的 网 关 路 由 器 或 防火 墙 ， 当 两 个 局 域 网 
跨越 不 安全 网 络 进行 通信 时 ， 它 们 负责 为 路 越 不 安全 网 络 的 通信 数据 执行 IPSec 封装 和 
解 封装 ， 这 就 是 使 用 隧道 模式 的 经 典 环境 ， 如 图 9-30 所 示 。 


IPSec SA 





文件 服务 器 1 人 文件 服务 器 2 


图 9-29 传输 模式 封闭 的 弟 见 使 用 场景 
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图 9-30 ”隧道 模式 封装 的 常见 使 用 场景 





\ 
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在 9. 2. 4 节 中 ， 我 们 用 尽 可 能 简练 的 方式 ， 图 文 并 茂 地 解释 了 IPSec 两 种 通信 数据 
封装 协议 的 封装 格式 ， 以 及 两 种 不 同 的 封装 类 型 。 同 时 以 采用 传输 模式 封装 ESP 为 例 ， 
介绍 了 IPSec 通信 方 封 装 和 解 封 装 IPSec 消息 的 流程 。 更 加 详细 的 信息 ， 我 们 会 在 华为 
ICT 学 院 安全 技术 的 配套 教材 中 再 行 说 明 。 

在 9. 2.5 节 中 ， 我 们 会 介绍 一 种 并 不 属于 IPSec 框架 ， 也 不 提供 安全 服务 ， 但 常常 
会 和 IPSec 一 起 使 用 的 协议 。 


9.2.5 ”GRE 概述 和 


提 到 GRE， 很 多 读者 的 第 一 反应 一 定 是 (北美 ) 研究 生 分 数 考试 (Graduate Record 
Examinations，GRE) ， 这 项 且 试 的 语文 (Verbal ) 和 写作 (Writing Assessment ) 部 分 
成 为 了 很 多 大 学 生 赴 美加 读 硕士 研究 生 的 拦路 虎 。 

不 过 ， 网 络 技术 领域 的 GRE (Generic Routing Encapsulation,， 通用 路 由 封装 ) 
不 仅 不 是 拦路 席 ， 反 而 是 打通 网 络 转发 通路 的 隧道 协议 。 这 项 十 分 简单 的 协议 可 以 
像 隧道 模式 的 IPSec 通信 数据 封装 协议 〈ESP/AH) 那样 ， 将 一 个 网 络 层 头 部 封装 在 
另 一 个 网 络 层 头 部 中 进行 传输 。 在 9.2.5 节 中 ， 我 们 会 对 这 种 协议 的 用 法 及 原理 进 
行 说 明 。 
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首先 ， 我 们 来 解释 一 下 GRE 的 一 种 使 用 场景 ， 请 看 图 9-31。 

现在 ， 请 读者 参照 图 9-31 思考 一 个 问题 。 如 果 路 由 器 1 和 路 由 器 3 都 启用 了 0SPF 
协议 , 并 且 路 由 器 1 的 G0/070 接口 和 路 由 器 3 的 60/0/1 接口 都 被 管理 员 添 加 到 了 0SPF 
区 域 0 中， 但 路 由 器 2 上 并 没有 启用 0SPF， 那 么 路 由 器 1 和 路 由 器 3 之 间 可 以 建立 完 
邻接 关系 ， 并 相互 发 送 LSA 吗 ? 


路 由 器 1 路 由 器 2 路 由 器 3 
GO/O/1 GO/0/] ; 
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12.1.1.0/24 23.1.1.0/24 
图 9%31 一 个 简单 的 GRE 使 用 场景 





这 个 问题 的 答案 显 而 意 见 ， 不能。0SPF 的 邻居 状态 的 迁移 、 链 路 状态 信息 的 通告 都 
是 通过 组 播 来 完成 的 。 路 由 器 2 没有 启用 0SPF 协议 ， 自 然 也 就 不 会 监听 0SPF 路 由 器 接 
口才 会 监听 的 组 播 地 址 ， 更 没有 理由 为 两 边 的 EF 路 由 器 执行 转发 0SPF Hello 消息 和 
LSA。 

那么 ， 我 们 怎么 才能 在 不 让 路 由 器 2 参与 0SPF 的 前 提 下 ， 让 路 由 器 1 和 路 由 器 3 
建立 起 0SPF 完全 邻接 关系 呢 ? 如 果 读 者 联想 到 我 们 在 9. 2.4 节 中 介绍 的 IPSec 隧道 模式 
封装 , 可 以 会 联想 到 图 9-32 所 示 的 这 样 一 个 解决 方案 : 把 0SPF 数据 包 带 看 网 络 层 头 部 ， 
一 起 封装 到 一 个 路 由 器 2 能 够 执行 正确 转发 的 新 IP 头 部 中 。 


f 


路 由 器 2 的 IPv4 路 由 表 
G0/0/0 | 直 连 
GO/0/1 


路 由 器 1 12.1.1.0/24 路 由 器 2 23.1.1.0/24 路 由 器 3 
0/0/0 RE GO/0/ GO/0/1 有 
NY ， 2 
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新 IPv4 头 部 IPv43 、 
源 12.1.1.1 | 某 协议 头 部 | 注 121 1 5 六 部 | 数据 部 分 
目的 23.1.1.3 目的 224.0.0.5 类 型 - 


图 9-32 ” 跨 非 0SPF 路 由 器 建立 0SPF 完全 邻接 关系 的 解决 方案 





总 之 ， 如 果 有 一 种 协议 可 以 提供 图 9-32 中 “ 霖 协议 ”的 服务 ， 将 一 个 IPv4 数据 包 
封装 起 来 , 并 且 在 外 层 再 封装 一 个 新 的 IPv4 头 部 , 那么 路 由 器 1 和 路 由 上 3 之 间 就 可 以 
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顺利 地 相互 转发 0SPF 消息 了 。 在 图 9-32 所 示 的 环境 中 ， 当 路 由 器 2 接收 到 图 中 所 示 的 
数据 包 之 后 ， 它 会 根据 这 个 数据 包 (新 ) IPv4 头 部 的 目的 地 址 查找 自己 的 IPv4 路 由 表 ， 
发 现 这 个 数据 包 的 目的 网 络 与 自己 的 60/0/1 直 连 ， 于 是 就 会 将 这 个 (封装 在 新 IPv4 头 
部 中 的 ) 组 播 消 息 通 过 目 己 的 60/0/1 接口 转发 给 了 路 由 器 3， 尽 管 路 由 器 2 本 身 并 没有 
监听 这 个 组 播 地 址 。 

IP 协议 号 为 47 的 GRE 就 提供 了 图 9-32 中 “ 某 协 议 ” 提 供 的 服务 。 它 可 以 将 大 量 不 
同类 型 的 网 络 层 协议 封装 到 另 一 个 网 络 层 头 部 当中 。 同 理 ， 管 理 员 可 以 根据 转发 需求 ， 
在 两 台 并 不 相连 的 路 由 器 之 间 创 建 一 条 虚拟 的 转发 障 道 ， 让 它们 对 于 内 部 封装 的 网 络 
层 协议 而 言 就 像 直 连 设备 一 样 。 这 种 功能 是 IPSec 无 法 提供 的 ， 这 也 是 GRE 隧道 的 价 
值 所 在 。 

GRE 协议 定义 的 头 部 封装 格式 如 图 9-33 所 示 。 





图 9-33 ”GRE 封装 格式 


图 9-33 所 示 的 各 个 子 段 很 容 多 理解 下 面 我 们 简单 进行 一 下 介绍 。 

e 协议 类 型 : 这 个 字段 的 作用 类 似 于 IPv4 头 部 中 的 协议 字段 ， 它 的 作用 是 标识 
GRE 头 部 内 封装 的 协议 类 型 。 不 过 ， 这 个 字段 针对 不 同 内 部 封装 协议 的 取 值 ， 
与 该 协议 的 协议 号 并 不 相同 。 例 如 ， 内 部 为 ,IPv4 协议 ， 则 这 个 字段 的 取 值 为 
2048， 即 十 六 进 制 0x800; 

。  ” 校 验 和 (Checksum) : 这 个 可 选 的 字段 的 作用 是 让 对 端 验证 这 个 GRE 头 部 所 圭 
装 的 数据 是 否 在 传 葵 过 程 中 出 现 了 变化 。 如 果 设 置 了 校 验 和 字段 ， 则 图 9-33 
中 的 C 位 会 置 位 ， 否 则 C 位 为 0 

。 关键 字 《〈Key) : 这 个 可 选 字 段 取 值 取 决 于 GRE 封装 的 应 用 层 协 议 ， 其 作用 是 让 
对 端 验证 这 个 GRE 头 部 所 封装 的 应 用 层 消 县 .如 果 设 置 了 关键 字 字 段 , 则 几 9-33 
中 的 kK 位 会 置 位 ， 否则 位 为 0; 

e 序列 号 (Sequence Number) : 这 个 可 选 的 字段 的 作用 与 ESP/AH 协议 头 部 同名 
字段 的 作用 相同 。 如 果 设 置 了 序列 号 字段 ， 则 图 9-33 中 的 $ 位 会 置 位 ， 和 否则 $S 
位 为 0。 


== = 
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综 上 所 述 ， 如 果 我 们 在 图 9-32 所 示 环 境 中 使 用 GRE 来 封装 0SPF 消息 ， 那 么 封装 的 
消息 就 会 如 图 9-34 所 示 。 


一 









12.1.1.0/24 | GO/0/0 
23.1.1.0/24 | GO/0/1 


路 由 器 1 12.1.1.0/24 路 由 器 2 23.1.1.0/24 路 由 器 3 
GO/0/ 


[pealh GO/0/0 [py a GO/O/ 1 GO/O/ 
i ; 人 了 人 一 
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IPv4 头 部 
协议 号 47 
源 12.1.1.1 
目的 23.1.1.3 


图 9-34 使 用 GRE 建立 隧道 


比 起 GRE 的 工作 原理 ， 读 者 也 许 会 觉得 9. 2. 5 节 介 绍 的 GRE 工作 环境 更 加 无 法 理解 。 
为 什么 我 们 就 不 能 在 路 由 器 2 上 启用 0SPF, 而 选择 在 路 由 器 1 和 路 由 器 3 之 间 建 立 隧 道 
呢 ? 其 实 ， 在 实际 网 络 环 境 中 ， 没 有 技术 工程 师 有 权限 管理 所 有 的 网 络 设备 。 

现在 , 读者 不 妨 将 路 由 器 2 设想 为 Internet， 将 路 由 器 1 和 路 由 器 2 设想 为 同一 个 
家 企业 不 同 站 点 的 默认 网 关 。 虽然 将 两 个 站 点 接 入 Internet, Internet 上 的 路 由 设备 自 
会 有 能 力 承担 这 两 个 站 点 之 间 的 通信 ， 就 像 路 由 器 2 可 以 使 用 自己 的 直 连 路 由 来 转发 往 
返 于 路 由 器 1 和 路 由 器 3 的 流量 那样 ,但 同一 家 企业 跨 Internet 建立 的 通信 却 无 法 在 不 
同 站 点 间 网 关 路 由 器 相互 发 送 组 播 数据 包 , 不 同 站 点 的 网 关 路 由 器 也 无 法 建立 0SPF 完全 
邻接 关系 。 然而 , 这 家 企业 的 网 络 技术 人 员 显 然 没 有 权限 管理 和 配置 Internet 上 的 路 由 
器 ， 此 时 这 家 企业 的 网 络 工 程 师 就 可 以 在 两 个 站 点 之 间 建 立 一 条 GRE 隧道 ， 并 以 此 在 不 
同 站 点 的 网 关 之 间 建 立 0SPF 通信 。 

当然 ，GRE 的 用 途 远 远 不 只 是 在 两 台 原 本 不 相 直 连 的 0SPF 设备 之 间 ， 跨 越 非 0SPF 
环境 建立 0SPF 邻接 关系 。 它 的 作用 是 在 网 络 层 本 不 相 直 连 的 设备 之 间 建 立 虚拟 的 隧道 ， 
让 这 两 台 实 现 逻 辑 层 面 的 网 络 层 直 连 。 所 以 ， 如 果 管 理 员 面 临 的 需求 是 要 把 两 台 〈 原 本 
”于 网 络 层 并 不 直 连 的 ) 设备 在 网 络 层 直 连 才能 解决 ， 那 就 可 以 考虑 使 用 GRE 协议 在 这 两 
台 设 备 之 间 建 立 罗 辑 的 网 络 层 直 连 关系 。 

读 到 这 里 ， 读 者 或 许 已 经 发 现 ，GRE 和 IPSec 存在 结合 使 用 的 前 景 。 比 如 ， 我 们 希 
望 对 图 9-34 中 传输 的 消息 提供 加 密 、 认 证 等 安全 性 保护 ,就 可 以 在 这 个 数据 包 外 面 再 封 
装 隧道 模式 的 ESP 协议 ， 这 种 应 用 方式 叫做 IPSec over GRE。 再 比如 ， 我 们 希望 图 9-30 
中 路 由 器 1 和 路 由 器 2 这 两 台 路 由 器 之 间 可 以 相互 发 送 组 播 消 息 ， 则 可 以 在 IPSec 数据 
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包 的 外 层 再 封装 GRE 协议 ， 这 种 应 用 方式 叫做 GRE over IPSec。 
9.2.6 IPSecVPN 的 配置 


在 学 习 了 与 YPN 相关 的 理论 知识 后 ，9. 2.6 节 我 们 将 介绍 如 何 使 用 华为 路 由 器 ， 建 
六 IPSec VPN， 来 保障 两 个 站 点 之 间 通 信 的 安全 性 。 在 这 个 案例 中 ， 我 们 将 使 用 图 9-35 


所 示 环 境 。 


Ee P| 二 和 


ARI 202 108 10 1/30 \ /20210820180 全 2 
GO/0/0 


GO/0/0 































GO/O/1 
10.10.10.1/24 


GO/O0/1 
10.20.20.1/24 


= PC10 PC20 ~ 
10.10.10.10/24 l 10.20.20.20/24 


图 9-35 在 两 个 站 点 之 间 建 并 IPSec YPN 











在 图 9-35 所 示 环 境 中 ， 站 点 1 和 站 点 2 分 别 是 同一 个 企业 位 于 不 同城 市 的 办 公 网 
络 ， 它 们 会 通过 自己 的 网 关连 接 到 Inteirnet。 管 理 员 要 在 两 个 网 关 CAR1 和 AR2) 之 间 
建立 IPSec VPN 隧道 ， 以 此 连接 两 个 站 点 的 企业 内 网 。 在 这 个 环境 的 配置 中 ，AR1 和 AR2 
要 通过 IKE 协商 的 方式 创建 IPSec VPN 隧道 。 管 理 员 使 用 以 下 步骤 进行 配置 。 

步骤 1 在 ARI 和 AR2 上 通过 静态 路 由 的 方式 ， 指 定 去 往 对 端的 路 由 ; 

步骤 2 使 用 高 级 IP ACL 指定 需要 通过 IPSec 隧道 进行 保护 的 流量 (指定 流量 的 源 

和 和 目的 IP 地 址 ) ; 

步骤 3 创建 IPSec 安全 提议 ， 并 指定 IPSec 使 用 的 各 项 参数 ; 

步骤 4 ”创建 IKE 安全 提议 ， 并 指定 IKE 使 用 的 各 项 参数 ; 

步骤 5 创建 IKE 对 等 体 ， 并 在 其 中 引用 配置 的 IKE 安全 提议 ; 

步骤 6 创建 IPSec 安全 策略 ， 并 在 其 中 应 用 ACL、IPSec 安全 提议 和 IKE 对 等 体 ; 

步骤 7 建立 连接 的 两 靖 ， 在 面 回 Internet 的 接口 上 应 用 安全 策略 。 

接 下 来 我 们 按照 这 个 步骤 来 配置 AR1 和 AR2， 并 逐步 进行 验证 。 

步骤 1 在 ARl 和 AR2 上 通过 毅 态 路 由 的 方式 ， 指 定 去 往 对 奖 的 路 由 。 

首先 管理 员 要 实现 基本 的 IP 连通 性 ， 因 此 在 路 由 占 连 接 外 网 (G0/0/0〉 和 内 网 
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(G0/0/1) 的 接口 上 分 别 配 置 好 IP 地 址 ,并 配置 去 往 另 一 个 站 点 的 静态 IP 路 由 , 例 9-13 
中 展示 了 步骤 1 的 配置 。 

例 9-13 在 AR1 和 AR2 上 配置 接口 IP 地址 和 静态 路 由 

[ARI]interface gigabitethernet 0/0/0 

[ARl1-GigabitEtherriet0/0/0]ip address 202. 108. 10. 1 255. 255. 255. 252 

[AR1-GigabitEthernet0/0/0|]quit 

[ARl |interface gigabitethernet 0/0/1 

[ARl-GigabitEthernet0/0/1]ip address 10. 10. 10. 1 255. 255.255. 0 

[AR1-GigabitEthernet0/0/1]quit : 嘲 

[AR1]ip route-static 202. 108. 20. 0 255. 255. 255. 252 202; 108. 10.2 

LAR1j ip route-statie 10. 20.30.0 255. 255. 255. 0 202. 108. 10. 2 

[AR2] interface gigabitethernet 0/0/0 

[AR2-GigabitEthernet0/0/0]ip ‘address 202. 108. 20. 1 255. 255. 255, 252 

[AR2-GigabitEthernet0/0/0]quit 

[AR2|interface gigabitethernet 0/0/1 

[AR2-GigabitEthernet0/0/1]ip address 10. Se 1 255. 255. 255. 0 

[AR2-GigabitEthernet0/0/1]quit 

[AR2]ip- route-static 202. 108. 10. 0 255. 255. 255. 252 202. 108. 20.2 

[AR2]ip route- static 10. 10. 10.0 255. 255. 255.0 202. 108. 20. 2 

ARl 和 AR2 百 连 的 Internet 路 由 费 没 有 在 图 中 表现 出 来 ，AR1 接口 60/0/0 的 IP 地 
址 是 202. 108 10. 1/30, 它 直 连 的 Internet 路 由 器 接口 IP 地 址 为 202. 108. 10. 2/30; AR2 
接口 60/0/0 的 IP 地 址 是 202. 108. 20. 1/30， 它 直 连 的 Internet 路 由 器 接口 IP 地 址 为 
202. 108. 20. 2730。 

在 例 9-13 的 配置 中 ， 管 理 员 在 AR1 和 AR2 上 分 别 配置 了 两 个 接口 的 IP 地 址 和 两 条 
静态 路 由 , 这 两 条 静态 路 由 分 别 指明 了 如 何 去 往 对 端 站 点 的 公 网 IP 地 址 , 以 及 如 何 去 往 
对 端 站 点 的 内 部 IP 子 网 ， 静 态 路 由 中 指定 的 下 一 跳 IP 地 址 其 实 就 是 AR1 或 AR2 接口 
G0/0/0 直 连 的 Internet 路 由 器 接口 IP 地 址 。 

例 9-14 测试 了 两 个 站 点 之 间 当 前 的 连通 性 。 

例 9-14 测试 站 点 1 与 站 点 2 之 间 的 连通 性 

[AR1]ping 202. 108. 20.1 . 

PING 202. 108. 20. 1: 56 data bytes, press CTRL C to break 
Reply from 202. 108. 20. 1: bytes=56 Sequence=] ttl1=254 tlime=110 ms 
Reply from 202. 108. 20. 1: bytes=56 Sequence=2 tt]=254 time=50 ms 
Reply from 202. 108. 20. 1: bytes=56 Sequence=3 tt1=254 time=60 ms 
Reply from 202. 108. 20. 1: bytes=56 Sequence=4 ttl1=254 time=30 ms 
Reply from 202. 108. 20. 1: bytes=56 Sequence=5 ttl=254 time=50 ms 


— 202 108. 20. 1 ping Statiatics 一 一 
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5 packet(s) transmitted 

5 packet (s) received 

0. 00% packet loss 

round-trip min/avg/max = 30/60/110 ms 
PC10>ping 10. 20. 20. 20 


Ping 10. 20. 20.20: 32 data bytes, Press Ctrl C to break 
Request timeout! 
Request timeout! 
Request timeout! 
Request timeout! 


Request timeout! 


ld 0. 020,20 ping statisthes ——— 
5 packet(s) transmitted 
0 packet (s) received 
100. 00% packet loss 

例 9-14 先 从 ARL1 上 测试 了 与 AR2 公 网 IP 地 址 之 间 的 连通 性 , AR1 在 发 出 ping 测试 
时 没有 指定 源 IP 地 址 ， 因 此 它 会 使 用 出 接口 的 IP 地 址 ， 也 就是 目 己 的 公 网 IP 地 址 。 运 
营 商 分 配 的 会 网 IP 地 址 在 Internet 中 是 可 路 由 的 。 从 测试 结果 我 们 也 能 看 出 , 当前 AR1 
与 AR2 之 间 的 连通 性 是 没有 问题 的 。 : 

接着 管理 员 在 站 点 1 的 内 网 主机 PC10 上 对 站 点 2 的 内 网 主机 PC20 发 出 了 ping 测 
试 ， 通 过 结果 可 以 看 出 ， 当 前 两 个 内 网 之 间 是 无 法 相互 访问 的 。 这 是 因为 内 网 主机 使 用 
的 私有 IP 地 址 无 法 在 Internet 上 实现 路 由 ， 站 点 1 和 站 点 2 所 连接 的 ISP (运营 疝 ) 
路 由 器 上 没有 任何 私有 IP 地 址 的 路 由 信息 。 

步骤 2 使 用 高 级 IP ACL 指定 需要 通过 IPSec 隧道 进行 保护 的 流量 (指定 流量 的 源 

和 目的 IP 地 址 ) 。 

要 想 穿越 Internet 实现 两 个 站 点 中 内 网 主机 之 间 的 通信 , 管理 员 需 要 在 ARL 与 AR2 
之 间 建 立 IPSec VPN 隧道 。 接 下 来 管理 员 使 用 高 级 IP ACL 指定 了 需要 罕 越 IPSec VPN 
隧道 的 内 网 流量 ， 详 见 例 .9-15% 

例 9-15 在 AR1 和 AR2 上 使 用 高 级 IP ACL 定义 需要 穿越 IPSec VPN 的 流量 

[LAR1]acl 3010 

[AR1l=acl-adv-3010jrule permit ip source 10. 10. 10. 0 0. 0. 0. 255 destination 10. 20. 20:;0 0. 0. 0. 255 

[ARi-acl-adv-3010]rule deny ip 

[AR2]acl 3020 由 

[AR2-acl-adv-3020jrule permit ip source 10. 20. 20. 0 0. 0. 0. 255 destination 10. 10. 10. 0 0. 0. 0. 255 

[AR2-acl-adv-3020]rule deny ip 
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以 例 9-15 所 示 的 AR1 配置 为 例 ， 管 理 员 创建 了 编号 为 3010 的 高 级 IP ACL， 并 放行 
了 以 10. 10. 10. 0/24 为 源 IP 地 址 ， 同 时 以 10. 20. 20. 0/24 为 目的 IP 地 址 的 流量 ， 这 种 
做 法 能 够 更 为 精确 地 匹配 需要 受到 VPN 保护 的 流量 。 除 此 之 外 管理 员 还 使 用 命令 rule 
deny ip 拒绝 了 其 他 所 有 流量 ， 使 ACL 只 放行 特定 流量 ， 这 种 做 法 也 提高 了 网 络 的 安全 
性 。AR2 上 的 配置 与 AR1 呈 镜 像 ， 也 就 是 需要 调换 源 和 目的 IP 地 址 的 位 置 。 

另外 读者 还 可 以 注意 到 ， 管 理 员 在 AR1 与 AR2 上 使 用 了 不 同 的 ACL 编号 。 实 际 上 ， 
在 建立 IPSec VPN 的 两 台 设 备 上 ，ACL 编号 不 必 相 同 ，ACL 编号 只 在 路 由 器 本 地 有 意义 。 
在 这 个 案例 中 ， 管 理 员 在 AR1 和 AR2 上 配置 其 他 与 IPSes VPN 相关 的 参数 时 ， 也 会 使 用 
不 同 的 编号 和 名 称 ， 一 方面 让 读者 能 够 意识 到 这 些 编号 和 名 称 只 具有 本 地 意义 ， 男 一 方 
面 在 实际 工作 中 ， 管 理 员 也 可 殿 按 照 实 际 需求 指定 更 有 意义 的 名 称 。 

步骤 3 ”创建 IPSec 安全 提议 ， 并 指定 IPSec 使 用 的 各 项 参数 。 

接 下 来 我 们 进入 IPSec 的 配置 步骤 ,在 AR1 和 AR2 上 分 别 创建 一 个 IPSec 安全 提议 ， 
并 且 在 其 中 指定 IPSec 所 要 使 用 的 认证 和 加 密 算法 。 例 9-16 展示 了 这 个 步骤 〈 步 骤 3) 
中 的 配置 信息 。 

例 9-16 在 AR1 和 AR2 上 配置 IPSec 安全 提议 

[AR1] ipsec proposal prop1l0 

[AR1-ipsec-proposal-prop10jencapsulationrmode tunnel 

[AR1-ipsec-probosal-propl0j transform esp 

[AR1-ipsec-proposal-propl10jesp authentication-algorithm sha2-256 

[AR1-ipsec-proposal-prop10]esp encryption-algorithm aes=-128 

[AR2j ipsec proposal prop20 

二 [AR2-ipsec-proposal-prop20]esp authentication-algorithm sha2-256 

[AR2=ipsec-proposal-prop20]esp _ encryption-algorithm aes=-128 

如 例 9-16 所 示 ， 管 理 员 需 要 使 用 系统 视图 命令 ipsec proposal Proposa7-mame 来 
创建 一 个 IPSec 安全 提议 ， 并 进入 IPSec 安全 提议 视图 。 在 默认 情况 下 ， 路 由 器 中 没有 
任何 IPSec 安全 提议 。 安 全 提议 的 名 称 可 以 由 1 一 15 个 字符 构成 ， 这 个 名 称 只 具有 本 地 
意义 ，AR1 与 AR2 在 通过 对 比 双方 支持 的 IPSec 安全 提议 ， 并 对 IPSec 所 需要 使 用 的 认 
证 和 加 密 算 法 进行 协商 时 ， 并 不 在 乎 这 个 安全 提议 的 名 称 是 否 相 同 ， 只 要 其 中 指定 的 参 
数 相同 ， 匹 配 惑 算 成 功 。 

在 IPSec 安全 提议 中 ， 管 理 员 需要 指定 用 来 建立 IPSec 连接 的 各 种 参数 ， 其 中 包括 
数据 封装 模式 、 安 全 协议 、 认 证 和 加 密 算 法 , 路 由 器 会 使 用 这 些 参 数 来 协商 并 建 并 IPSec 
SA。 以 下 为 管理 员 在 本 例 的 IPSec 安全 提议 中 实施 的 配置 。 

e。 encapsulation-mode {transport | tunnel} : 管理 员 需 要 使 用 这 条 命令 指定 IPSec 

所 使 用 的 数据 包 封 装 模 式 ， 华 为 设备 默认 使 用 隧道 〈tunnel) 模式 。 本 例 中 使 
用 默认 的 隧道 模式 ; 


w= SH 
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。 transform lah | ah-esp | esp}: 管理 员 需 要 使 用 这 条 命令 指定 IPSec 所 使 用 的 
安全 协议 ， 华 为 设备 默认 的 安全 协议 是 ESP〈esp) 。 本 例 中 使 用 默认 的 ESP 协议 ; 
e。 esp authentication-algorithm {md5 | shal | sha2-256 | sha2-384 | sha2-512 | 
sm3} : 在 使 用 ESP 作为 安全 协议 时 ， 管 理 员 可 以 使 用 这 条 命令 来 指定 ESP 使 用 
的 认证 算法 。 根 据 路 由 设备 的 型 号 和 软件 版 本 的 不 同 ， 默 认 的 ESP 认证 算法 也 
可 能 有 所 不 同 ， 因 此 管理 员 最 好 根据 目 己 的 需求 手动 指定 认证 复 法 。 本 例 中 使 
用 的 认证 算法 是 sha2-256; 
e。 esp encryption-algorithm [3des | des | aes-128 | aes-192 | aes-256 | 
sml | sm4]: 在 使 用 ESP 作为 安全 协议 时 ， 管 理 员 还 可 以 指定 加 密 算 法 ， 这 时 
就 需要 使 用 这 条 命令 。 指 定 加 密 算 法 的 命令 不 仅 在 句法 上 与 指定 ESP 认证 算法 
的 句法 类 似 ， 而 且 默认 的 ESP 加 密 算 法 也 由 路 由 设备 的 型 号 和 软件 版 本 决定 。 
本 例 中 使 用 的 加 密 算 法 是 aes-128。 
刚才 我 们 提 到 过 ， 在 需要 建立 IPSec VPN 的 两 端 设备 上 ，IPSec 安全 提议 的 名 称 不 
必 相 同 , 但 其 中 的 参数 必须 相同 。 同 时 ,在 IPSec VPN 两 端 设备 上 可 以 各 自 拥 有 多 个 IPSec 
安全 提议 ， 两 台 设 备 会 从 多 个 安全 提议 中 ， 目 动 协商 出 适用 的 一 个 。 
管理 员 可 以 使 用 命令 display ipsec proposal 来 查看 路 由 器 上 配置 的 IPSec 安全 
提议 配置 。 例 9-17 展示 了 AR1 上 的 IPSece 安全 提议 配置 结果 。 \ 
例 9-17 查看 AR1 上 的 IPSec 安全 提议 
[LARlldisplay ipsec proposal 


Number of proposals: 1 - 


IPSec proposal name: propl0 


Encapsulation mode: Tunnel 


Transform : esp-new 4 
-ESP protocol : Authentication SHA2-HMAC-256 *. 
Encryption AES-128 品 


从 例 9-17 可 以 看 出 ,管理 员 在 AR1 上 只 配置 了 一 个 名 为 prop10 的 IPSec 安全 提议 ， 
其 中 封装 模式 选择 了 隧道 (Tunael )、 传 输 安全 协议 使 用 了 ESP (显示 为 esp-new) ，ESP 
协议 部 分 分 别 展示 了 管理 员 配 置 的 认证 算法 (SHA2-HMAC-256) 和 加 密 算 法 (AES-128) 。 

步骤 4 创建 IKE 安全 提议 ， 并 指定 IKE 使 用 的 各 项 参数 。 

接 下 来 管理 员 需 要 配置 有 关 IKE 的 参数 ， 在 这 一 步骤 中 我 们 需要 分 别 配置 IKE 安全 
提议 和 IKE 对 等 体 。 首 先 从 例 9-18 查看 配置 IKE 安全 提议 的 命令 。 

例 9-18 在 AR1 和 AR2 ol IKE 安全 提议 


[AR1] ike proposal 10 
[AR1-ike=-proposal-10jauthentication-method pre-share 


== S10 = 
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[AR1-ike-proposal-10jauthentication-algorithm shal 
[ARI-ike=-proposal-10]jencryption-algorithm aes=-cbc-128 
[AR2] ike proposal 20 
. [AR2-ike-proposal-20]authentication-algorithm shal 
[AR2=-ike-proposal-20]encryption-algorithm aes-cbc—128 
管理 员 需 要 使 用 系统 视图 命令 ike proposal proposal-number， 创 建 一 个 IKE 安全 
提议 并 进入 IKE 安全 提议 视图 。IKE 安全 提议 的 编号 取 值 范围 是 1 一 99， 从 例 9-18 所 示 
的 两 台 路 由 器 配置 中 我 们 也 能 判断 ，IKE 安全 提议 的 编号 与 IPSee 安全 提议 的 名 称 一 样 ， 
只 具有 本 地 意义 ，AR1 和 AR2 在 协商 IKE 安全 参数 时 ， Ha 在 和 IKE 安全 提议 的 编号 是 
否 相 同 ， 它们 只 在 乎 IKE 安全 提议 中 的 认证 和 加 密 得 法 是 侣 匹配 。 
在 IKE 安全 提议 中 ， 管 理 员 需 要 指定 IKE 为 交换 和 保护 密 钥 所 使 用 的 认证 方式 ， 以 
及 认证 和 加 密 算法 。 以 下 为 管理 员 在 IKE 安全 提议 中 实施 的 配置 。 
。 authentication-method {pre-share | rsa-signature | mi er he 
理 员 需 要 使 用 这 条 命令 指定 IKE 使 用 的 认证 方式 ， 默 认 的 认证 方式 是 
WE 本 例 中 就 使 用 默认 的 预 共 : 蛙 密 外 廊 式 ， 因此 管理 员 仅 在 AR1 上 ri 
输入 了 这 条 命令 , 在 AR2 上 就 没有 进行 配置 。 在 使 用 预 共 吾 密 钥 时 ,建立 IPSec 
VPN 的 两 个 站 点 管理 员 之 间 可 以 通过 带 外 的 方式 交换 密 钥 信息 ， 比 如 通过 电话 、 
电子 邮件 、 面 对 面 交 流 等 方式 约定 密 钥 ; 
ee authentication-algorithm [aes-xcbc-mac-96 | md5 | shal sha2-256 | 
sha2-384 | sha2-512 | sm3}: 管理 员 需 要 使 用 这 条 命令 来 指定 IKE 使 用 的 认 
证 算法 。IKE 认证 算法 的 默认 参数 也 与 路 由 设备 的 型 号 和 软件 版 本 相关 ， 管 理 
员 最 好 根据 自己 的 需求 手动 指定 认证 算法 。 本 例 中 使 用 的 认证 算法 是 shal， 再 
做 一 点 有 关 选 择 算法 的 提示 : 我 们 这 个 案例 中 要 使 用 IKEv1， 因 此 无 法 选择 
aes-xcbc-mac-96, 因为 I[KEv1 不 支持 这 种 认证 算法 。 感 兴趣 的 读者 可 以 在 进行 
实验 练习 时 试 着 选择 这 种 算法 ， 并 在 IKE 对 等 体 中 引用 这 个 IKE 安全 提议 时 注 
意 观 察 路 由 器 的 提示 ; 
e。 encryption-algorithm {3des-cbc | des-cbc | aes-cbc-128 | aes-cbc-192 
| aes-cbc-256 | sm4} : 管理 员 需 要 使 用 这 条 命令 来 指定 IKE 使 用 的 加 密 算 法 。 
路 由 设备 支持 的 加 密 算 法 也 与 路 由 设备 的 型 号 和 软件 版 本 相关 。 本 例 中 使 用 的 
加 密 算法 是 aes-cbc-128。 
再 次 强调 ， 在 需要 建立 IPSec VPN 的 两 端 设 备 上 ，IKE 安全 提议 中 的 参数 必须 相同 ， 
但 IKE 安全 提议 的 编号 却 不 必 相 同 。 
步骤 5 创建 IKE 对 等 体 ， 并 在 其 中 引用 配置 的 IKE 安全 提议 。 
在 创建 了 IKE 安全 提议 后 ， 管 理 员 需 要 创建 IKE 对 等 体 ， 并 在 其 中 应 用 刚才 创建 的 
IKE 安全 提议 。 例 9-19 展示 了 有 关 IKE 对 等 体 的 创建 和 配置 命令 。 


pt I = 
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例 9-19 在 AR1 和 AR2 上 创建 IKE 对 等 体 

[AR1]ike peer ikel0 vl 

[AR1-ike-peer—ikel0|ike-proposal 10 

[AR1-ike-peer—ikel0]pre-shared-key cipher huaweil23 

[AR1=ike-peer=ikel10]remote-address 202. 108. 20.1 

[AR2] ike peer ike20 vl 

[AR2-ike=peer-ike20]ike-proposal 20 

[AR2-ike-peer-ike20]pre-shared-key cipher huaweil23 

[AR2=-ike-peer-ike20]remote-address 202. 108. 10. 1 

如 例 9-19 所 示 ， 管 理 员 需要 使 用 系统 视图 命令 ike peer-name Lvl | v2j 来 创建 一 
个 IKE 对 等 体 ， 并 进入 IKE 对 等 体 视图 。IKE 对 等 体 的 名 称 可 以 由 1 一 15 个 字符 构成 ， 
从 配置 中 我 们 也 可 以 知道 ， 这 个 名 称 也 只 具有 本 地 意义 。 在 第 一 次 使 用 这 条 命令 创建 新 
的 IKE 对 等 体 时 ， 管 理 员 必 须 在 命令 中 指定 IE 对 等 体 使 用 的 版 本 ， 之 后 再 进入 已 创建 
的 IKE 对 等 体 视图 时 就 无 需 输 入 版 本 号 了 。 

在 IKE 对 等 体 视图 中 ， 管 理 员 指定 了 对 端 IP 地址、 应 用 了 之 前 建立 的 IKE 安全 所 
议 ， 并 定义 了 预 共 享 密 钥 。 


ike-proposal proposal-number: 管理 员 震 要 使 用 这 条 命令 来 应 用 之 前 已 经 配 
置 好 的 IKE 安全 提议 ，IKE 对 等 体 之 间 就 会 使 用 这 个 IKE 安全 提议 中 的 认证 和 
加 密 算 法 ， 来 对 密 钥 进行 管理 ; y 
pre-shared-key {simple | cipher} key: 管理 员 需 要 使 用 这 条 命令 来 设置 IKE 
对 等 体 建立 连接 所 使 用 的 预 共享 密 钥 。 关 键 字 simple 和 cipher 分 别 指定 了 在 
路 由 器 的 配置 中 ， 这 个 预 共性 密 钥 的 保存 形式 : simple 保存 为 明文 ，cipher 
保存 为 加 密 形 式 。 本 例 中 选择 了 cipher， 这 种 做 法 更 为 安全 。 本 例 设置 的 预 共 
享 密 钥 为 huawei123， 两 端 IKE 对 等 体 上 必须 配置 相同 的 预 共享 密 钥 ; 
remote-address ip-address: 管理 员 需 要 使 用 这 条 命令 来 设置 IKE 对 等 体 对 关 
的 IP 地 址 。 通 第 这 个 IP 地 址 是 公 网 可 路 由 地 址 ， 也 就 是 ISP 分 配给 企业 使 用 
的 公 网 IP 地 址 ,本 例 中 使 用 了 路 由 器 连接 Internet 的 接口 上 所 配置 的 IP 地 址 
(也 就 是 从 ISP 获得 的 .IP 地 址 〉。 


在 配置 好 这 些 参数 后 ， 例 9-20 使 用 命令 display ike peer verbose 查看 了 AR1 上 
创建 的 IKE 对 等 体 。 
例 9-20 在 AR1 上 查看 IKE 对 等 体 


[ARljdisplay ike peer verbose 


Number of IKE peers: 1 


SM 
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eerr nd 4 :, ikel0 

‘Exchange mode' | : main on phase 1 
Pre-shared-key cipher : “@J*U2S* (7F, YWX*NZ550A!! 
Proposal te 10 

Local ID type eh 

DPD | : Disable 

DPD mode : Periodic 

DPD idle time : 30 

DPD retransmit interval: 15 i 
DPD retry limit :3 

Host name $y 

Peer IP addrngss $02. 108. 20. 1 

VPN name : 人 


Local IP address 
Local name 


Remote name 


NAT~traversal : Disable : | 
oe ee 

PKI realm : NULL 

Inband OCSP ;Disable 


从 例 9-20 的 命令 输出 内 容 中 我 们 可 以 看 到 ， 到 目前 为 止 配置 的 与 IKE 相关 的 所 有 
参数 ， 其 中 包括 比较 重要 的 IKE 版 本 (Version one) 、IKE 对 等 体 名 称 (ike10) 、IKE 
对 等 体 IP 地 址 (202. 108. 20. 1) 和 IKE 安全 提议 编号 (10) 。 还 可 以 看 到 IKE 在 阶段 一 
所 使 用 的 模式 (main on phase 1) ， 我 们 这 里 没有 对 默认 模式 进行 修改 ， 因 此 使 用 了 
IKE 主 模式 。 其 他 的 参数 超出 了 读者 当前 需要 掌握 的 程度 , 感 兴趣 的 读者 可 以 在 华为 ICT 
学 院 安全 技术 的 学 习 中 ， 进 一 步 深 入 了 解 。 

步骤 6 创建 IPSec 安全 策略 ， 并 在 其 中 应 用 ACL、IPSec 安全 提议 和 IKE 对 等 体 。 

接 下 来 ， 管 理 员 需要 创建 IPSec 安全 策略 ， 并 把 之 前 创建 好 的 ACL、IPSec 安全 提 
议和 IKE 对 等 体 等 配置 信息 都 关联 到 IPSec 安全 策略 中 。 例 9-21 展示 了 AR1 和 AR2 
上 的 IPSec 安全 策略 配置 。 

例 9-21 在 AR1 和 AR2 上 配置 IPSec 策略 


[ARl|ipsec policy pol0 10 isakmp 
[AR1L-ipsec-policy-isakmp-pol0-10]ike-peer ikel0 
[AR1-ipsec-policy-isakmp-pol0-10]proposal propl0 
[AR1-ipsec-policy-isakmp-pol0-10]security acl 3010 
[AR2]ipsec policy po20 20 isakmp 
[AR2-ipsec-policy-isakmp-po20-20|]ike-peer ike20 
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[AR2-ipsec-policy-isakmp-po20-20]proposal prop20 
[AR2-ipsec-policy-isakmp-po20-20]security acl 3020 
如 例 9-21 所 示 ， 管 理 员 需 要 使 用 系统 视图 命令 ipsec policy policy-name seqg-number 
[gdoi | isakmp [template template-name] | manualj] 来 创建 一 个 IPSec 安全 策略 ， 并 进 
入 IPSec 安全 策略 视图 。IPSec 安全 策略 的 名 称 由 1 一 15 个 字符 构成 ， 序 号 取 值 范围 是 1 一 
10000， 从 配置 中 我 们 可 以 知道 ， 这 些 参 数 都 只 具有 本 地 意义 。 
由 于 本 例 中 管理 员 使 用 IKEv1 来 目 动 协商 建立 IPSec VPN， 因 此 在 创建 IPSec 安全 
策略 时 ， 需 要 选择 关键 字 isakmp。 以 下 为 管理 员 在 IPSece 安全 策略 中 实施 的 配置 。 
。 ike-peer peer-name: 管理 员 使 用 这 条 命令 应 用 了 之 前 (步骤 4 中) 创建 的 IKE 
。 proposal proposal-name: 管理 员 使 用 这 条 命令 应 用 了 之 前 〈 步 最 3 中 ) 创建 
的 IPSec 安全 提议 ; 
。 Security acl acl]-number: 管理 员 使 用 这 条 命令 应 用 了 之 前 ( 步 又 2 中 ) 创建 
的 高 级 IP ACL。 
这 样 一 来 ,管理 员 就 把 步骤 2、3、4 中 创建 的 参数 全 都 应 用 在 了 IPSec 安全 策略 中 ， 
例 9-22 使 用 命令 display ipsec policy 确认 了 AR1 中 创建 的 IPSec 安全 策略 。 
例 9-22 ”在 AR1 中 查看 IPSec 安全 策略 
i ipsec policy 





IPSec policy group: "pol0" 


Using interface: | 


Sequence number: 10 
Security data flow: 3010 


-0 
. | 


Peer name : ikel0 到 

Perfect forward secrecy: None 

Proposal i propl10k,- 

IPSec SA local duration(time based): 3600 seconds 

IPSec SA local duration(traffic based): 1843200 kilobytes 
Anti-replay window size: 32 

SA trigger mode: Automatic 

Route inject: None 


Qos pre-classify: Disable 
从 例 9-22 的 命令 输出 内 容 中 我 们 可 以 找到 刚才 应 用 的 IKE 对 等 体 (ike10) 、IPSec 
安全 提议 (prop10) ， 以 及 指定 了 受 保护 流量 的 ACL (3010) 。 华 为 ICT 学 院 安 全 技术 
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课程 中 会 详细 介绍 其 他 参数 的 用 途 和 具体 调试 方法 。 

步骤 7 ”建立 连接 的 两 闫 ， 在 面 癌 Internet 的 接口 上 应 用 安全 策略 。 

在 配置 好 所 有 与 IPSec 和 IKE 相关 的 参数 后 , 管理 员 的 最 后 一 步 工作 就 是 把 IPSec 
安全 策略 应 用 在 相应 的 接口 上 。 例 9-23 展示 了 在 ARI 和 AR2 上 应 用 IPSec 安全 策略 的 
命令 。 
例 9-23 在 AR1 和 AR2 上 应 用 IPSec 安全 策略 
LAR1] interface gigabitethernet 0/0/0 
[AR1-GigabitEthernet0/0/0]ipsec policy pol0 
[AR2 | interface gigabitethernet 0/0/0 a 
[AR2-GigabitEthernet0/0/0]ipsec policy po20 
管理 员 需 要 在 接口 视图 中 使 用 合 命令 ipsec policy policy-name 来 应 用 之 前 配置 的 
IPSece 安全 策略 。 到 这 里 为 止 ， 管 理 员 的 所 有 配置 就 完成 了 。 接 下 来 AR1 和 AR2 会 自动 
协商 并 建立 IKE SA 和 IPSec SA， 两 个 站 点 中 的 内 网 用 户 之 间 也 能 够 通过 IPSec 隧道 进 
行 通信 了 。 下 面 我 们 就 通过 一 些 命令 ， 在 路 由 器 上 先 验证 一 下 IKE SA 和 IPSec SA 的 建 

结果 ， 然 后 在 内 网 主机 上 通过 ping 测试 来 验证 两 个 站 点 之 间 的 连通 性 。 

例 9-24 展示 了 AR1 和 AR2 上 建立 和 维护 的 IKE SA。 

例 9-24 在 AR1 和 AR2 上 查看 已 建立 的 IKE SA 

[AR1] isplay ike sa 


Conn-ID pe VPN Flag(s) a = 
2 .| W0108: 20 1 NG RD|ST 2 
二 820 下 局 击 RD|ST 1 


Flag Description: 

RD——READY %» ST--STAYALIVE RL-—REPLACED- FD-=FADING “TO--TIMEOUT 

HRT--HEARTBEAT LKG-——LAST KNOWN GOOD SEQ NO. BCK--BACKED UP 
[AR2]display ike sa 


Conn-ID Peer VPN Flag(s) Phase 
2 202. 108. 10. 1 0 RD 2 
1 202. 108. 10. 1 0 RD 到 


Flag Description: 
RD--READY ST-~STAYALIVE RL-—REPLACED FD-~-FADING TO-—-TIMEOUT 
HRT——HEARTBEAT LKG-—LAST KNOWN GOOD SEQ NO. BCK—-BACKED UP 


在 例 9-24 中 ， 管 理 员 使 用 命令 display ike sa 查看 了 路 由 右上 建立 的 IKE SA 状 
态 。 其 中 我 们 重点 关注 Flag(s) 字段 ， 这 个 标记 字段 的 取 值 和 描述 信息 展示 在 命令 的 末 
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尾 。 对 比 AR1 和 AR2 的 标记 字段 我 们 会 发 现 ，AR1 多 了 一 个 ST 标记 ， 这 个 标记 表示 AR1 
是 IKE SA 协商 过 程 的 用 起 方 。AR1 和 AR2 都 有 的 标记 RD 表示 IKE SA 已 经 成 功 建立 。 在 
标记 字段 为 补 ， 表 示 IKE SA 的 协商 没有 成 功 ， 管 理 员 需 要 重新 检查 两 应 设备 上 配置 的 认 
证 和 加 密 参 数 是 否 匹 配 。 

例 9-25 在 AR1 和 AR2 上 使 用 命令 display ipsec sa brief 查看 了 路 由 器 上 建立 的 
IPSec SA。 

例 9-25 在 AR1 和 AR2 上 查看 已 建立 的 IPSec SA 

[ARl |display ipsec sa brief 


Number of SAs:2 


Sre address Dst address SPI VPN Protocol Algorithm 
202. 108. 20. 1 202. 108. 10. 1 2967839764 0 ESP -E:AES-128 A:SHA2.256 128 


202. 108. 10. 1 202. 108. 20, 1 406806218 0 ESP  E:AES-128 A:SHA2 256 128 
[AR2]display ipsec sa brief 浊 


Number of SAs:2 











Srce address Dst address SPI VEPN Protocol Algorithm 
202. 108. 20. 1 202. 108. 10. 1 2967839764 0 ESP E:AES=128 A:SHA2 256 128 
202. 108. 10. 1 202. 108. 20. 1 406806218 0- ESP’, E:AESr128 A:SHA2 256, 128 


从 例 9-25 所 示 命 令 的 输出 内 容 中 ， 我 们 重点 关注 SPI 字段 。 在 9. 2. 4 节 中 我 们 曾 
经 介绍 过 SPI， 它 的 作用 是 唯一 地 标 训 一 个 IPSec SA。 在 9. 2. 4 节 摘 述 的 IPSec 流量 封 
装 过 程 中 ， 第 3 步 即 为 路 由 器 从 SADB 中 查找 相应 SA 的 SPI 值 并 添加 ESP 头 部 。 那 么 路 
由 器 又 是 如 何 选择 SPI 值 的 呢 ? 这 个 问题 的 答案 在 例 9-25 所 示 的 内 容 中 一 目 了 然 。 以 
AR1 为 例 ， 在 回 AR2 发 送 数据 时 ，AR1 会 使 用 SPI 406806218， 因 为 这 个 SPI 标识 的 是 源 
IP 地 址 为 202. 108. 10. 1， 目 的 IP 地 址 为 202. 108. 20. 1， 协 议 为 ESP 的 数据 包 。 通 过 后 
文 的 抓 包 截图 我 们 也 可 以 验证 这 一 点 。 

在 IPSec VPN 建立 之 后 ,g 匣 理 员 可 以 再 次 测试 站 点 1 和 站 反 2 内 网 主机 之 间 的 通信 ， 
我 们 还 是 从 PC10 回 PC20 发 起 ping 测试 ， 例 9-26 展示 了 测试 结果 。 

例 9-26 PC10 向 PC20 发 起 ping 测试 

PC10>ping 10. 20. 20. 20 


Ping 10. 20. 20. 20: 32 data bytes, Press Ctrl-C to break 
From 10. 20. 20. 20: bytes=32 seq=] ttl=127 time=63 ms 
From 10. 20. 20. 20: bytes=32 seq=2 ttl=127-timne=31 ms 
From 10. 20. 20. 20: bytes=32 seq=3 tt1l=127 time=47 ms 
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From 10. 20. 20. 20: bytes=32 seq=4 tt1=127 time=31 ms 
From 10.20. 20. 20: bytes=32 seq=5 ttl=127 time=47 ms 


二 
5 packet(s) transmitted 
5 packet(s) received 
0. 00% packet loss 
round-trip min/avg/max = 31/43/63 ms 


从 例 9-26 展示 的 测试 结果 我 们 可 以 看 出 ， 现在 两 个 站 点 中 的 内 部 主机 之 间 能 够 进 
行 通信 了 。 我 们 在 AR1 接口 600/0/0 上 进行 了 抓 包 ， 图 9-36 展示 了 抓 包 截图 。 


Wal 





加 Capling from Standard input - Wireshark 一 
Fle Edit View Go Capture Analyze Statistics Telephony Tools Help 
车 击 阐 人 攻 国 六 名 如 人 9 吕 竺 主 国 匡 | 人 AAI 的 罗 其 | 澡 


Filter: ~ Expression,.. Clear Apply 

No. Time Source Destination Protccol Info ~ 
21 1894. 202.108.10.1 202.108.20.1 ESP ESP (SPI=0x183f5eca) 
22 1894. 202.108.20.1 202.108.10.1 ESP ESP (SPI=0xbge5a414) 
23 1895. 202.108.160.1 202.108.20.1 ESP ESP (SPI=0x183fS5eca) 
24 1895. 202.108.20.1 202.108.10.1 ESP ESP (SPI=0xb0e5a4i4) 
23， 3 202. 108. 10. -1 ZZ 108- Z 人 xi | ESP (SPI=0x183fSeca) 4 
gs 

a Frame 23: 134 Re on wire C07 bits), bytes captured (1072 bits) 


2 Ethernet IT, Src; HuaweiTe 24:7b:50 (O00Q:eQ:fc:24:7b:50), Dst: HUaweiTe Cd:z795: 
Hb Internet protocol, SFc: 202,108,10.1 {202.108;10.1), Dst: 202-108.20.1 {202.,] 
3 Encapsulating Security Payload 

ESP SPI: Ox183f5eca 

ESP Sequence: 67108864 


4 和 es 
a 00 #0 64 : 0a tia 1¢ 14 0 六 ee 
六 99 48 2 D Ua i 3 i 


个 de Security RR 是 41 | Displayed: 4 41 Matked 0 了 profile: Default 


图 9-36 在 ARL 接口 600/0/0 上 抓 包 





在 图 9-36 中 解析 的 数据 包 是 从 AR1 发 往 AR2 的 ICMP 消息 ， 它 携带 的 SPI 是 
0x183f5eca， 这 是 以 十 六 进 制 表示 的 数值 ， 而 我 们 刚才 推测 AR1 会 在 其 封 猴 的 数据 包 中 
使 用 的 SPI 值 406806218 是 十 进 制 格 式 。 如 果 读 者 熟练 掌握 了 十进制 与 十 六 进 制 之 间 的 
转换 规则 ， 或 者 善 用 计算 器 软件 的 话 ， 就 可 以 发 现 这 两 个 SPI 值 是 相同 的 。 并 且 从 这 个 
a ee ek nen nn 
这 个 数据 包 中 携带 的 是 哪 种 类 型 的 信息 。 只 有 当 数 据 包 到 达 IPSec VPN 的 男 一 端 (也 就 
是 AR2) ，AR2 才能 读 取 到 数据 包 携带 的 真实 数据 ， 并 把 真实 的 消息 解密 出 来 进行 下 一 步 
处 理 〈 本 例 中 就 是 把 ICMP 消息 转发 给 PC20) 。 

IPSec VPN 实验 是 到 目前 为 止 恋 者 接触 到 的 拥有 最 “庞大 ”配置 量 的 配置 任务 。 虽 
然 IPSec 的 配置 比较 复杂 ， 但 由 于 IPSec 是 一 个 模块 化 的 框架 ， 因 此 与 之 相关 的 庞大 配 
置 任务 也 会 被 分 为 多 个 小 配置 任务 ， 就 像 本 例 中 分 出 的 六 个 配置 步骤 。 

IPSec VPN 配置 任务 的 浊 辑 性 踢 ， 读 者 可 以 在 实验 中 加 深 对 理论 的 理解 ， 但 不 能 
记 硬 背 配 置 步骤 ， 这 样 做 不 利于 在 遇 到 问题 时 厘清 思路 。 在 实际 工作 中 ， 管 理 员 在 实施 
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IPSec VPN 之 前 ， 需 要 在 实施 文档 中 详细 列 出 每 个 步骤 中 需要 使 用 的 参数 ， 并 且 在 实施 
中 按 步 骤 进 行 设置 。 一 旦 IPSec VPN 建立 不 成 功 ， 管 理 员 就 需要 依靠 自己 掌握 的 IPSec 
理论 基础 ， 来 按部就班 地 排查 造成 TPSec VPN 建立 不 成 功 的 根本 原因 。 现 在 的 企业 网 络 
几乎 都 需要 使 用 VPN 技术 ， 掌 握 IPSec VPN 的 技术 原理 和 配置 方法 ， 是 作为 网 络 /安全 管 
理 员 必 不 可 少 的 技能 。 


9.3 ”如 何 利用 网 络 安全 技术 保证 网 络 安全 性 


通过 对 前 面 的 内 容 介 绍 ， 我 们 对 AAA 和 IPSec 这 两 种 常用 的 安全 技术 进行 了 原理 讲 
解 和 配置 演示 。 当 然 ， 这 两 项 安全 技术 提供 的 服务 并 不 足以 解决 所 有 与 网 络 安全 相关 的 
问题 ， 它 们 都 只 能 在 某 一 方面 为 网 络 提供 安全 防护 。 实 际 上 ， 网 络 安全 拥有 相当 多 的 维 
度 ， 人 们 从 不 同 角 度 入 手 可 以 找 出 不 同 的 漏洞 ， 设 计 出 不 同 的 攻击 方式 ， 以 及 不 同 的 防 
御 策 略 。 这 也 就 是 说 ， 没 有 一 项 技术 能 够 全 方位 、 彻 底 地 保障 网 络 安 全 。 考 虑 到 网 络 攻 
击 的 方式 也 在 随 着 网 络 技术 的 发 展 而 不 断 变化 ， 也 没有 人 能 够 穷 举 所 有 网 络 攻击 方式 和 
对 应 的 防御 技术 。 

在 9.3 节 中 ， 我 们 首先 把 目光 从 某 一 项 特定 技术 为 网 络 提供 的 安全 防护 服务 这 一 儿 
隘 的 视角 移 开 ， 尝 试 从 宏观 的 角度 来 对 构成 网 络 安全 的 要 素 进行 一 下 分 类 。 接 下 来 ， 我 
们 通过 列举 一 些 常见 的 网 络 安全 问题 和 网 络 安全 技术 来 为 这 一 章 收 尾 。 


9.3.1 网 络 安全 三 要 素 


判断 一 个 人 是 否 健 康 需 要 有 一 系列 的 指标 。 健 康 专 家 们 对 于 保持 健康 的 建议 也 是 儿 
层次 多 方面 的 ， 比 如 保持 低压 力 状 态 、 减 少 情绪 波动 、 作 县 时 间 规 律 、 远 离 污 染 地 区 、 
经 党 参加 有 氧 运 动 、 平 稀 腾 食 结构 、 戒 除 不 展 嗜好 、: 养 成 开 衣 包容 的 个 性 、 确 保 居 住 环 
卉 卫生 等 。 这 上 坚 建议 针对 的 是 人 类 生理 和 心理 健康 的 沾 同 角度 提出 的 ， 它 们 本 喘 并 没有 
优 劣 或 先后 之 分 ， 也 没有 相互 奉 代 和 抵消 的 关系 。 大 鱼 大 肉 的 饮食 习惯 给 身体 造成 的 负 
担 绝对 并 不 会 因为 家 庭 环 蔚 无 净 整 污 就 伏 抵 消 。 

如 何 保护 网 络 安 全 犹如 如 何 保持 吴 体 健康 ， 这 个 问题 的 答案 也 应 该 是 多 角度 的 ， 这 
些 建议 往往 也 会 包含 很 多 理想 主义 的 说 法 ， 越 关注 这 个 问题 的 人 也 就 越 愿 意 为 更 多 的 建 
议 作 出 御 牲 。 一 般 来 说 ， 信 息 安 全 的 核心 往往 会 被 概括 为 机 密 性 (Confidentiality) 、 
完整 性 (Integrity) 和 可 用 性 (Availability) 这 三 点 ， 人 们 常常 将 这 三 点 的 英文 首 字 
母 组 合 起 来 ， 称 之 为 信息 安全 的 CIA 三 要 素 (CIATriad) 。 下 面 ， 我 们 分 别 对 这 三 点 的 
概念 进行 说 明 。 

所 谓 机 密 性 , 是 指 确保 信息 只 能 由 授权 者 进行 访问 。 在 我 们 本 章 之 前 介绍 的 技术 中 ， 
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加 蜜 技术 的 目的 束 是 保障 信息 的 机 密 性 。 显 然 ， 对 数据 执行 加 密 无 法 防止 攻击 者 截获 数 
据 , 但 是 可 以 保证 截获 了 数据 的 攻击 者 依然 无 法 访问 这 些 数据 。 在 图 9-37 中 ,两 位 通信 
者 在 跨越 不 安全 网 络 交 换 敏感 信息 ， 它 们 之 间 的 网 关 路 由 费 充 当 了 加 密 隧 道 的 端点 ， 负 
贡 对 进出 隧道 的 流量 执行 加 解密 处 理 。 不 安全 网 络 中 的 铺 听 者 虽然 截取 到 了 它们 之 间 传 
得 的 数据 ， 但 是 看 到 的 却 是 加 密 之 后 的 密 文 ， 无 法 了 解 双方 传输 的 信息 。 


- 我 的 银行 卡 密码 是 8888 8888 8888 8888 
CVC 是 888 密 码 是 888888 
: 吐 


we 一 一 ,~ 一 > GC 一- pe 
A 








通信 者 甲 












2 Sposa 
"FHQoDIkIOtAtfpZByDtF3KNF26LW3]JprY A 

| oQJNkmh7SPwRo2VL3Q7XCDT5Zd5Tp20wk | 天 看 不 懂 
' gNPMCYD3t4HPRhu2YGrQ== | Re Se 7/ 
0 信人 —— 





图 9-37 对 数据 提供 机 密 性 保障 防止 未 经 授权 的 访问 


完整 性 是 蕴 确 保 信息 在 从 源 到 目的 之 间 没 有 遗 到 非法 修改 。 当 攻击 者 通过 技术 手 
段 实施 中 间 人 攻击 时 ， 就 可 以 在 信息 的 发 送 方 和 接收 方 之 间 对 数据 执行 拦截 和 算 改 ， 
如 图 9-38 所 示 。 : 
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中 间 人 
图 9-38 ”攻击 者 人 破坏 了 信息 的 完整 性 
可 用 性 是 指 确 保 合法 用 户 在 需要 时 就 能 够 访问 到 所 需 的 信息 。 从 表面 上 看 ， 破 坏 信 
息 可 用 性 ， 致 使 人 们 无 法 访问 重要 信息 的 危害 性 似乎 小 于 破解 或 修改 敏感 信息 给 人 们 带 
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来 的 危害 性 。 但 随 看 IT 办 公 融 入 各 行 各 业 , 可 用 性 遭 到 破坏 给 人 们 造成 的 损失 也 越 来 越 
严重 。2017 年 5 月 ， 勒 索 病 毒 WannaCry 感染 英国 多 家 医院 ， 致 使 中 毒 计算 机 中 的 文件 
遭 到 锁定 而 无 法 访问 ， 必 须 付费 才能 解锁 ， 甚 至 导致 患者 的 心脏 手术 被 迫 推迟 ， 这 就 是 
破坏 信息 可 用 性 有 可 能 危及 人 们 生命 的 鲜 活 案例 。 


鉴于 计算 机 病毒 既 不 必然 依靠 网 络 传播 ， 亦 不 必然 以 影响 用 户 对 网 络 和 网 络 资源 的 
使 用 为 目的 ， 所 以 在 严格 意义 上 ， 计 算 机 病毒 问题 并 不 属于 网 络 安全 的 范畴 ， 而 应 该 属 
于 信息 安全 领域 中 计算 机 安全 的 范畴 。 有 鉴于 此 ， 本 系列 教材 不 会 对 与 计算 机 病毒 有 关 
的 内 容 进行 解释 说 明 ， 仅 以 WannaCry 为 例 提示 读者 不 要 小 舰 破 坏 信息 可 用 性 有 可 能 对 
大 众 造 成 的 危害 。 


综 上 所 述 ，CIA 三 要 素 如 果 能 够 得 到 满足 ， 那 么 我 们 也 就 相当 于 保证 了 只 有 合法 用 
户 可 以 ， 并 且 可 以 随时 访问 到 准确 而 完整 的 信息 ”。 

当然 ，CIA 三 要 素 并 不 能 概括 所 有 保障 信息 安全 的 属性 。 在 过 去 十 几 年 间 ， 很 多 机 
构 和 个 人 认为 应 该 在 CIA 三 要 素 的 基础 上 补充 一 些 其 他 的 元 素 作 为 信息 安全 的 属性 ， 比 
如 真实 性 /身份 认证 (Authenticity/Authentication) 、 可 审计 性 (Accountability) 、 
抗 重 放 性 Cnon-Repudiation) 、 可 靠 性 (Reliability) 、 所 有 权 (Possession) 等 。 
不 过 ， 也 有 一 些 专业 人 士 认 为 其 中 一 些 元 素 已 经 包含 在 CIA 中 的 某 个 要 素 当 中 了 。 

信息 安全 是 一 个 比 网 络 安全 外 沿 更 广 的 领域 。 在 本 书 中 ， 我 们 只 讨论 信息 在 网 络 传 
输 过 程 中 有 可 能 遭遇 的 问题 ， 以 及 应 对 的 手段 。 在 9. 3. 2 节 中 ， 我 们 会 对 网 络 安全 中 一 
些 常见 的 问题 进行 简单 的 介绍 。 | 


9.3.2 第 见 的 网 络 安全 问题 与 解决 方法 


网 络 安全 的 目标 是 使 合法 用 户 能 够 随时 以 合法 的 方式 安全 地 使 用 网 络 及 网 络 资源 ， 
同时 让 非法 使 用 网 络 及 网 络 资源 的 操作 则 无 法 实现 。 夺 扰 上 述 目标 的 行为 ， 就 是 破坏 网 
络 安全 的 行为 ， 比 如 。 

。 ”通过 伪装 技术 来 访 闻 本 无 权 访 问 的 网 络 或 网 络 资源 ; 

。 通过 各 类 拒绝 服务 攻击 妨碍 合法 用 户 正常 访问 网 络 ; 

。 ”通过 各 类 中 间 人 攻击 窃听 合法 用 户 之 间 传 输 的 数据 ， 

。 ”通过 各 类 中 间 人 攻击 算 改 合法 用 户 之 间 传 输 的 数据 。 

显然 ， 上 面 的 内 容 只 是 举例 说 明 ， 网 络 攻击 的 方式 不 仅 五 花 八 门 ， 而 且 层 出 不 穷 。 
其 中 很 多 攻击 可 以 同时 达到 多 重 攻 击 效果 。 


” 引 自 ISACA，2008。 
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首先 ， 攻 击 者 需要 确定 目 己 想 要 达到 的 目的 ， 其 次 要 根据 对 方 的 机 制 特 点 和 弱点 下 
于 。 这 隋 像 想 要 顺手 替 手 的 人 第 笛 会 蹈 守 在 人 流量 颇 大 的 火车 站 ， 趁 一 位 踩 着 高 跟 半 的 
年 轻 女 士 目 己 逐 个 把 三 个 大 小 各 异 的 箱包 放 在 安检 X 光 机 传送 带 上 ， 勿 忙 走 和 癌 安 检 门 的 
瞬间 ， 把 看 上 去 装 了 笔记 本 和 照相 机 等 设备 的 双肩 背 擒 走 。 这 类 偷 镭 行为 之 所 以 比较 容 
另 成 功 ， 是 因为 小 偷 看 准 了 这 类 环境 人 多 混杂 易于 隐藏 和 逃匿 、 单 身 女 性 穿着 高 跟 鞋 难 
以 奶 赶 ， 双 悄 背 易 得 手 且 收益 大 等 特点 ， 才 有 针对 性 实施 的 盗 铺 。 网 络 中 的 恶意 行为 也 
是 如 此 。 
恶意 破坏 网 络 安全 性 的 行为 称 为 攻击 行为 ， 攻 击 者 仿 针 对 网 络 中 的 薄弱 环节 〈 称 为 
漏洞 ) 进行 攻击 。 通 常 攻击 者 会 根据 想 要 实现 的 破坏 结果 , 选择 漏洞 实施 攻击 。 在 9.3.2 
节 中 ， 我 们 会 介绍 一 些 最 常见 的 至 击 方式 ，9. 3. 3 节 将 介绍 抵抗 这 些 攻击 的 手段 。 读 者 
可 以 在 阅读 9. 3. 2 节 的 过 程 中 ， 思 考 自己 的 应 对 方法 。 

图 9-39 所 示 为 按照 TCP/IP 协议 栈 总 结 的 常见 网 络 安全 问题 。 








漏洞 、 缓 冲 区 溢出 攻击 、 

WEB 应 用 的 攻击 、 网 络 蠕虫 及 木马 ……: | 让 用 县 
EE 

TCP 欺 骗 、TCP 拒 绝 服 务 、UDP 拒 绝 服 务 、 


端口 扫描 …… 
a 
i 


图 9-39 ”TCP/IP 协议 栈 中 常见 的 安全 问题 


在 图 9-39 所 示 的 各 类 网 络 安全 攻击 方式 中 ， 我 们 已 经 通过 《网 络 基础 》6. 3. 2 节 和 
《路 由 与 交换 技术 》 的 1.2.3 节 ， 分 别 对 ARP 欺骗 攻击 和 MAC 地 址 泛 洪 攻 击 进 行 了 介绍 。 
对 于 这 两 种 攻击 方式 感 兴趣 但 没有 选 学 这 两 节 的 读者 ， 不 妨 现在 阅读 一 下 这 两 节 的 内 容 。 
下 面 , 我 们 从 图 9-39 中 的 数据 链 路 层 和 网 络 层 各 选取 一 种 网 络 安全 问题 进行 一 下 简单 的 
说 明 。 

数据 链 路 的 VLAN 跳 转 攻击 ， 就 是 典型 通过 伪装 技术 来 访问 本 无 权 访问 的 网 络 或 网 
络 资源 。 通 过 《路 由 与 交换 技术 》 第 2 章 〈 虚 拟 局 域 网 技术 ) 的 学 习 ， 读 者 现在 已 经 知 
道 使 用 VLAN 技术 可 以 将 一 个 局 域 网 中 的 用 户 分 配 到 不 同 的 VLAN 当中 ， 对 他 们 实现 数据 
链 路 层 的 隔离 。 通 过 《路 由 与 交换 技术 》 第 5 章 (VLAN 间 路 由 ) 的 学 习 ， 读 者 也 应 该 理 
解 不 同 VLAN 之 间 的 相互 访问 需要 借助 三 层 路 由 功能 才能 实现 .上 面 的 叙述 在 逻辑 上 当然 
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是 正确 的 ， 但 攻击 者 也 可 以 通过 逻辑 的 手段 来 规避 这 种 隔离 。 

在 图 9-40 中 ， 攻 击 者 在 交换 机 上 找到 一 个 被 管理 员 配 置 为 了 Trunk 模式 却 弃 之 不 
用 的 端口 , 于 是 将 自己 的 计算 机 伪装 成 了 一 台 交 换 机 ,让 它 通过 发 送 802. 1Q 数据 帧 与 所 
连 交 换 机 的 Trunk 端口 协商 建立 起 了 一 条 Trunk 链 路 。 因 为 Trunk 链 路 本 喘 就 可 以 承载 
各 个 VLAN 中 的 流量 ， 所 以 在 Trunk 链 路 建立 成 功 之 后 ， 这 人 台 计 算 机 就 可 以 同 任 何 VLAN 
发 送 数 据 帆 了 。 
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图 9-40 VLAN 跳 转 攻击 示意 


说 明 : 
ee 二 同 间 知 疼 夺 星 因 东 是 Yi 区 局 侈 本 厅 区 攻 
行 VLAN 跳 转 攻击 。 关 于 这 种 方法 ， 我 们 不 再 作 有 具体 描述 。 


在 执行 VLAN 跳 转 攻击 时 ， 攻 击 者 通过 逻辑 方式 绕 过 了 用 于 实现 数据 链 路 层 隔离 的 
VLAN 技术 ,达到 了 访问 自己 原本 无 权 访 问 的 网 络 这 一 月 的 ， 下 面 我 们 来 介绍 一 种 网 络 层 
的 攻击 方式 。 

经 过 华为 ICT 学 院 前 两 基教 材 的 学 习 ， 对 于 构建 网 络 环境 应 用 范围 最 广泛 的 IPv4 
协议 读者 应 该 已 经 非常 熟悉 ， 在 IPv4 协议 开始 变 得 流行 起 来 之 前 ， 它 只 用 于 连接 大 学 、 
图 书馆 和 研究 机 构 。 随 着 网 络 的 民用 化 和 商用 化 ，IPv4 对 于 安全 因素 欠缺 考虑 的 弱点 就 
暴露 了 出 来 。Smurf 攻击 就 是 攻击 者 在 网 络 层 通 过 拒绝 服务 攻击 妨碍 合法 用 户 正 常 访问 
网 络 的 攻击 方式 。 

在 执行 Smurf 攻击 时 ， 攻 击 者 是 在 利用 ICMP 协议 的 工作 原理 发 起 攻击 。 他 /她 会 把 
自己 发 送 的 数据 包 源 IP 地 址 修改 为 受害 主机 的 IP 地 址 ,把 目的 IP 地 址 设置 为 受害 主机 
所 在 IP 子 网 的 广播 地 址 ， 并 同 网 络 中 持续 发 送 大 量 携带 上 述 源 和 目的 IP 地 址 的 ICMP 
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Echo-Request 消息 。 这 个 IP 子 网 中 的 其 他 主机 在 收 到 这 个 ICMP Echo-Request 消息 后 ， 
会 问 受 害 主机 返回 正常 的 ICMP Echo-Reply 消息 。 如 果 这 个 IP 子 网 中 的 主机 数量 足够 庞 
大 ， 持 续 发 送 的 ICMP Echo-Request 消息 就 会 市 来 成 倍 的 振 续 返回 的 ICMP Echo-Reply 
消息 ， 这 种 庞大 的 流量 最 终 会 淹没 受害 主机 ， 降 低 它 的 处 理 速 度 并 最 终 使 它 无 法 正常 工 
作 ， 如 图 9-41 所 示 。 









“ Ping (Echo-Request) 

源 IP=B， 目 的 1P=B 的 子 网 广播 地 址 

这 个 网 络 中 的 朋友 们 ， 你 们 好 不 好 | a 
、 吗 ?请 计 我 到 你 们 的 声音 | 


一 ms -一 一 ~ — 





p> 














YN 
一 人 好 什么 好 阿 ; 此 了 ， 
盖 你 们 都 谁 闻 ? 
re 


RS 
I 


~ 

“BB 

ng (Echo-Reply ): 
目的 IP=B 


图 9-41 Smurf 攻击 示意 

在 图 9-41 中 ， 攻 击 者 通过 Smurf 攻击 ， 让 IP 地 址 为 了 B 的 受害 者 受到 了 严重 干扰 。 
这 就 是 利用 网 络 层 技 术 达 到 拒绝 服务 的 一 种 攻击 手段 。 

在 上 文中 ， 我 们 介绍 了 两 种 攻击 方式 。 再 次 强调 ， 网 络 攻击 方式 是 会 随 着 网 络 的 变 
化 而 动态 发 展 的 ， 没 有 一 本 技术 作品 能 够 穷人 举 所 有 网 络 中 存在 的 隐患 

不 过 ， 不 断 发 展 变 化 的 并 不 只 是 网 络 攻击 方式 ， 网 络 安全 措施 也 是 - 样 。 当 攻击 者 
发 现 了 网 络 机 制 中 一 种 可 以 利用 的 机 制 ， 并 且 针 对 这 种 机 制 设计 了 一 种 攻击 方式 让 大 量 
网 络 用 户 成 为 了 受害 者 之 后 ， 各 个 标准 化 机 构 、 高 校 、 企 业 中 的 专业 人 士 也 会 同时 迅速 
作出 响应 ， 恰 如 每 一 次 重大 航空 安全 事件 和 公共 医疗 事件 都 会 成 为 人 类 航空 科技 和 医学 
科学 制度 作出 重大 进步 的 基石 一 样 ， 每 一 种 重大 网 络 安全 隐患 的 爆发 也 会 让 各 个 网 络 的 
- 机 制 变 得 更 加 健全 ， 让 那些 曾经 可 以 呼风唤雨 的 攻击 手段 成 为 明日 黄花 。 

比如 ， 通 过 9. 3. 1 节 介 绍 的 VLAN 跳 转 攻击 ， 人 们 懂得 不 再 把 配置 为 自动 协商 模式 
的 Trunk 端口 弃 之 不 顾 。 企 业 的 技术 专家 会 针对 交换 机 配置 的 配置 指定 安全 标准 ， 要 求 
其 他 工程 师 把 所 有 不 使 用 的 端口 都 配置 为 Access 模式 ,同时 将 这 些 端 口 划分 到 默认 VLAN 
之 外 的 其 他 VLAN 中 (针对 VLAN 跳 转 攻击 变 体 的 建议 ) 。 

此 外 ， 我 们 在 9. 3. 1 节 中 介绍 的 Smurf 攻击 出 现在 20 世纪 90 年 代 ， 也 几乎 终止 于 
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同一 时 期 。 这 种 攻击 利用 的 漏洞 有 两 个 : 主机 会 对 广播 ICMP 请 求 作出 啊 应 ， 路 由 器 会 转 
发 广播 ICMP 消息 。 这 种 在 今天 看 似 漏 洞 的 行为 ， 在 当时 却 是 标准 。 如 今 路 由 邢 具有 了 拒 
绝 转 发 及 响应 广播 数据 包 的 功能 ， 大 多 主机 设备 默认 不 对 广播 ICMP 消息 作出 啊 应 ， 使 
Smurf 攻击 根本 没有 了 施展 的 空间 。 

目前 ， 针 对 图 9-39 中 的 所 有 攻击 方式 ， 都 多 多 少 少 有 一 些 对 应 的 安全 技术 或 者 推 
荐 做 法 与 技术 可 以 解决 或 者 缓解 。 限 于 篇 幅 ， 我 们 在 此 不 再 历数 。 我 们 也 建议 学 有 余力 
的 读者 自行 了 解 对 图 9-39 中 我 们 还 没有 介绍 过 的 攻击 方式 ,同时 查询 出 解决 这 些 网 络 攻 
击 的 安全 技术 ， 和 /或 为 了 避免 遭受 这 些 网 络 攻击 应 该 采取 的 预防 指 施 。 

在 这 一 章 的 最 后 ， 我 们 希望 读者 能 够 理解 一 点 ， 即 网 络 的 最 终 目的 是 实现 信息 以 可 
靠 的 形式 互通 。 从 这 个 角度 上 看 ， 因 忽视 安全 问题 而 既 没 有 部 署 有 效 的 安全 技术 叉 没有 
遵循 安全 方面 的 设计 建议 进而 导致 人 们 蒙受 损失 ， 因 过 度 关 注 安 全 问题 而 采取 过 于 严格 
的 安全 策略 和 措施 进而 导致 正常 通信 受到 影响 ， 这 两 种 情况 都 应 该 极力 避免 。 当 然 ， 由 
于 不 同 机 构 对 于 网 络 安 全 的 重视 程度 各 不 相同 ， 应 该 予以 考虑 使 用 的 安全 机 制 当 然 也 存 
在 巨大 差异 。 因 此 ， 没 有 一 套 放 之 四 海 而 皆 准 的 方法 可 以 让 所 有 企业 参照 这 些 方式 来 按 
部 就 班 地 规划 自己 的 网 络 。 在 这 里 ， 我 们 有 必要 建议 读者 回味 一 下 我 们 在 9. 3 节 开 始 时 
曾经 提 到 的 那 句 话 : 如 何 保护 网 络 安全 犹如 如 何 保持 身体 健康 ， 越 关注 这 个 问题 的 人 也 
就 越 愿 意 为 更 多 的 健康 建议 作出 牺牲 。 


9.4 本章 总 结 


二 二 通知 恒 帮 二 加 率 ， 人 同时 娄 和 的 攻关 和 
又 非常 广 ， 本 章 只 从 AAA 和 IPSec VPN 入 手 ， 让 读者 对 网 络 安全 技术 有 一 个 具体 的 了 解 。 
本 章 在 9. 1 节 中 介绍 了 AAA 认证、 授权 和 审计 ) 安全 体系 的 重要 性 ， 以 及 AAA 两 种 工作 
模式 的 原理 及 对 比 ， 本 地 认证 模式 和 服务 器 认证 模式 。 在 服务 器 认证 模式 中 ,管理 员 可 以 
使 用 RADIUS 协议 实现 认证 ，9. 1. 2 节 中 介绍 了 RADIUS 消息 的 报 文 格式 和 RADIUS 的 工作 原 
理 。9. 1.3 节 中 展示 了 如 何 通 过 本 地 认证 和 RADIUS 认证 的 方式 管理 路 由 器 的 访问 行为 。 

9.2 节 介 绍 了 各 种 网 络 中 都 在 广泛 使 用 的 VPN 技术 一 IPSec VPN。 这 一 部 分 内 容 中 ， 
9. 2 节 首先 介绍 了 IPSec VPN 中 使 用 的 技术 ， 比 如 用 来 交换 密 钥 的 IKE， 以 及 用 来 计算 密 铀 
的 DH 算法 。 之 后 介绍 了 IPSec 的 工作 原理 并 演示 了 配置 实验 。 本 章 不 仅 包含 了 有 具体 的 安全 
技术 ， 更 在 9. 3 节 中 提出 了 网 络 安全 的 三 要 素 ， 并 分 别 对 其 进行 介绍 。 最 后 列举 了 一 些 网 络 
中 常见 的 安全 问题 和 解决 办 法 。 当 然 ， 除 本 章 涉 及 的 网 络 安全 技术 之 外 ， 其 他 安全 技术 不 胜 
枚 举 , 并 且 在 安全 技术 之 外 的 安全 规范 也 对 我 们 的 网 络 至 关 重 要 。 读 者 在 学 习 了 本 章 内 容 后 ， 
如 果 对 其 他 网 络 安全 技术 感 兴 趣 ， 可 以 参加 华为 ICT 学 院 安全 方 问 系列 课程 的 学 习 。 
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一 、 选 择 题 

.以 下 哪些 场景 是 在 描述 AAA 的 作用 ? 《多 选 ) ) 

. 管理 员 在 巡 检 设备 时 ， 使 用 低 权 限 的 帐号 登录 路 由 器 

运营 商 根据 手机 用 户 的 上 网 流量 进行 收费 。 

. 用 户 打 开 电 脑 后 需要 输入 密码 才能 进入 系统 

用 户 在 华为 官网 上 登录 华为 账户 后 才能 够 得 看 并 下 载 需 要 授权 的 资料 
.IKE 阶段 1 分 别 定义 了 哪 两 种 模式 ? (多 选 ) (  ) 

. 主 模式 (Main Mode ) B. 主动 模式 (Active Mode) 

. 快速 模式 (Quick Mode) D. 野蛮 模式 (Aggressive Mode) 
.. IKE 的 作用 是 什么 ? (  ) 

保护 数据 的 安全 传输 | B， 保 护 数据 的 完整 性 

保护 密 钥 的 安全 交换 D. 建立 IKE SA 安全 关联 ) 
,IPSec 提供 的 安全 性 有 哪些 ? (多 选 )( ) 

私密 性 : B. 完整 性 C. 真实 性 D. 防 重 放 
.IPS&c 提供 了 哪 两 种 传输 模式 ? (多 选 ) ( 。 “) | 

， 主 模式 B. 快速 模式 C. 传输 模式 D. 隧道 模式 
.以 下 有 关 GRE 的 说 法 中 ， 错 误 的 是 ? (  ) 

.GRE 是 Generic Routing Encapsulation 的 缩写 

， 管 理 员 可 以 通过 GRE over IPSec 在 两 个 站 点 之 间 建 立 安全 的 动态 路 由 环境 
. GRE 的 IP 协议 号 是 47 

. GRE 是 一 种 加 密 隧 道 传输 技术 

.网络 安全 三 要 紊 分 别 是 ? (多 选 )( “) 


RE 


.完整 性 (Integrity) B， 真 实 性 (Authenticity) 
.可 用 性 (Availability) D. 机 密 性 (Confidentiality) 
二 、 判 断 题 


1. 在 使 用 RADIUS 服务 器 进行 认证 的 环境 中 ， 用 户 需要 先 与 AAA 服务 器 进行 通信 并 
认证 自己 的 身份 ， 认 证 通过 后 ，AAA 服务 器 会 把 认证 结果 告知 用 户 想 要 登录 的 设备 。 

2. IPSec SA 是 单 向 的 ，IKE SA 是 双向 的 。 在 建立 了 IPSec VPN 的 两 个 网 关 之 间 ， 
需要 使 用 两 个 SA 来 分 别 对 输入 和 输出 数据 流 提供 保护 。 

3. IPSec 隧道 模式 可 以 提供 认证 和 加 密 ， 而 传输 模式 只 能 提供 身份 认证 。 
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近 些 年 来 ， 人 们 购买 的 移动 设备 已 经 很 少 像 过 去 那样 配备 有 线 网 络 适配器 了 ， 这 反映 
了 无 线 网 络 在 人 们 的 生活 中 已 经 越 来 越 普及 ,无 线 网 络 的 普及 让 通信 摆脱 了 线 绕 和 接头 的 栋 
格 ， 让 通信 变 得 更 加 便捷 、 灵活。 各 类 相关 应 用 的 问世 让 人 们 有 了 更 多 的 理由 把 自己 的 业余 
生活 与 无 线 终端 绑 定 在 一 起 ， 也 让 整个 社会 对 网 络 更 加 依赖 。 时 至 今日 , 很 多 年 轻 人 几乎 已 
经 忘记 了 那个 需要 通过 网 线 才能 上 网 的 时 代 。 人 们 越 来 越 少 地 使 用 网 线 来 连接 终端 设备 , 网 
线 也 日 渐 淡 出 了 人 们 的 视野 ， 其 成 为 了 只 有 连接 网 络 基础 设施 时 才 会 用 到 的 连接 方式 。 

当然 ， 传 输 介质 的 变化 意味 着 无 线 局 域 网 技术 与 有 线 局 域 网 技术 在 物理 层 和 数据 链 
路 层 的 工作 方式 都 会 产生 重大 的 区 别 。 和 很 多 适用 于 有 线 局 域 网 环境 的 机 制 难免 会 
在 无 线 局 域 网 环境 中 失效 。 这 些 机 制 就 是 第 10 章 要 介绍 的 重点 。 

在 第 10 章 中 ， 我 们 会 首先 对 无 线 网 络 物理 层 的 原理 、 机 制 和 标准 进行 介绍 。 接 下 
来 的 内 容 是 第 10 章 的 重点 ， 也 就 是 无 线 局 域 网 的 数据 链 路 层 相关 机 制 、 技 术 与 标准 。 在 
这 一 部 分 中 ， 我 们 会 解释 无 线 传输 环境 如 何 避 免 信 号 发 生 冲 突 、 无 线 局 域 网 的 帧 如 何 封 
装 、 无 线 局 域 网 的 拓扑 有 哪些 类 型 ， 以 及 无 线 帧 是 ,如 何 玫 无线 网 络 环境 中 进行 传输 的 。 
鉴于 无 线 网 络 的 介质 是 开放 性 的 ， 因 此 它 势必 会 给 无 线 局 域 网 引入 一 些 不 同 于 有 线 局 域 
网 的 安全 风险 。 在 第 10 章 的 10. 4 节 中 ， 我 们 会 对 无 线 局 域 网 的 安全 隐患 ， 以 及 当前 用 
户 保护 无 线 局 械 风 安全 性 的 机 制 进行 并 述 ， 
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民 . 。 了 解 无 线 射频 的 相关 概念 和 标准 ; 
多 3。 了 解 定义 无 线 技术 的 标准 化 组 织 及 其 职能 ; 
© 3 。 掌握 IEEE 802. 11 标准 的 帧 封装 结构 : 

ec >。 党 所 由 在 无 线 局 域 网 中 的 伟 答 方式 
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FETT 
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5; ;了 。 理解 无 线 工作 站 (STA) 与 AP 建立 关联 的 流程 ; 
C 3 。 理 解 无 线 局 域 网 不 同 于 有 线 局 域 网 的 安全 隐患: 
Ci， 3 。 理解 WEP 的 原理 及 其 脆弱 性 ; 
ci iy 。 了解 WPA 和 WPA2 的 工作 原理 . 
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“10.1 无 线 概念 := 


在 开始 介绍 与 LAN (无 线 局 域 网 ) 相关 的 原理 与 实现 之 前 ， 我 们 先 来 简要 介绍 -一下 
无 线 传输 中 与 传输 介质 相关 的 基本 概念 。 在 有 线 通 信 的 环境 中 ， 物 理 层 的 传输 介质 是 各 
种 线 绕 ， 比 如 超 5 类 线 绕 、 单 模 光 纤 线 绕 等 。 而 在 无 线 通 信 的 环境 中 ， 信 号 传输 的 物理 
层 载体 则 是 空间 本 身 ， 而 这 里 的 信号 指 的 是 无 线 电波 。 在 10. 1 节 中 , 我 们 会 介绍 与 无 线 
电波 相关 的 内 容 ， 其 中 包括 无 线 电波 是 什么 ， 它 有 什么 特点 ， 人 们 如 何 能 够 利用 它 的 特 
点 来 实现 信息 传输 。 


10.1.1 ;无线 射频 


无 线 通 倍 依 束 无 线 电波 来 传输 信息 ， 无 线 电波 是 一 种 电磁 波 ， 电 磁 波 芜 处 不 在 ， 它 
们 是 通过 带电 体 扰 动 周围 的 磁场 而 产生 的 波动 ， 这 种 波 可 以 在 空中 (甚至 真空 中 ) 传播 。 

英国 苏格兰 物理 学 巨匠 麦克 斯 韦 最 早 预言 了 电磁 波 的 存在 ， 并 预言 电磁 波 与 光 的 速 
度 相同 。 在 麦克 斯 韦 逝 世 后 8 年 ( 即 1887 年 ) ， 又 一 位 伟大 的 物理 学 家 一 一 德国 人 赫 效 
通过 实验 证 实 了 麦克 斯 韦 的 假说 。 时 任 卡 尔 斯 鲁 厄 大 学 教授 的 赫兹 在 学 校 实 验 室 中 搭建 
了 一 个 试验 环境 ， 他 通过 一 个 电路 强迫 两 块 相 隔 一 定 距 离 的 镑 板 上 分 别 聚 集 大 量 的 正 负 
电 向 。 当 两 块 鲜 板 之 间 聚 集 的 电荷 过 多 时 ， 负 电荷 〈 电 子 ) 就 会 在 正 电 和 谷 的 吸引 下 跳 过 
两 块 锌 板 之 间 的 空 际 被 吸引 到 对 面 的 奢 块 锐 板 上 ， 同 时 两 块 锌 板 之 间 会 产生 火花 。 如 果 
电 蓓 的 移动 真 的 会 形成 电磁 波 ， 扰 动 周围 的 磁场 ， 那 么 根据 法 拉 第 定律 ， 被 扰动 的 磁场 
会 形成 电场 。 于 是 ,赫兹 在 相距 10 米 的 位 置 设置 了 一 个 检测 装置 ， 这 是 一 个 根本 不 含 电 
- 源 的 弯曲 导线 ， 导 线 两 头 接近 但 是 包含 可 以 产生 电 火 花 的 微小 间 际 。 如 果 在 制造 电磁 波 
的 两 块 锌 板 之 间 产 生火 花 ,这 个 与 之 相距 10 米 的 无 缘 导 线 两 头 的 间隙 之 间 也 产生 了 微弱 
的 火花 ， 就 可 以 证 明 〈 锌 板 之 间 运 动 的 ) 电子 运动 产生 了 电磁 波 。 最 终 ， 赫 效 在 无 缘 导 
线 两 头 观察 到 了 微弱 的 电 火 花 。 同 时 ， 测 量 结果 显示 ， 电 磁 波 产生 装置 〈 即 前 文中 的 电 
路 ) 中 的 电流 频率 和 接收 装置 〈“ 即 前 文中 的 无 源 导 线 ) 中 的 电流 频率 相同 。 而 后 ， 替 
效 通过 反复 实验 测量 和 计算 ， 得 出 电磁 波 的 传播 速度 等 于 光速 的 结论 ， 这 些 和 麦克 斯 
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韦 的 预言 一 致 。 现 在 我 们 都 已 经 知道 ， 赫 效 实 验 中 产生 的 电磁 波束 是 今天 我 们 所 说 的 
无 线 电 。 

赫 效 实验 之 后 又 过 了 了 7 了 年， 年 仅 二 十 岁 的 意大利 人 马 可 尼 上 听 说 了 赫 效 的 实验 。 他 很 
快 注意 到 了 电磁 波 可 以 让 相隔 10 米 之 外 的 接收 装置 产生 反应 这 个 实验 中 缠 含 的 商机 。 这 
意味 着 人 们 可 以 不 借助 任何 线路 在 一 个 地 点 通过 电磁 流产 生 装 置 产 生 信 与 ， 再 在 为 一 个 
地 点 使 用 检测 装置 检测 这 些 信号 ， 这 两 点 之 间 不 需要 通过 线路 相连 。 于 是 ， 马 可 尼 在 1 
年 后 的 1895 年 发 明了 使 用 这 一 原理 实现 的 通信 装置 ， 并 获得 了 专利 。 后 来 ， 马 可 尼 不 断 
改进 自己 的 装置 。 在 他 的 努力 之 下 ， 使 用 无 线 电 传输 的 英 尔 斯 电码 成 功 实 现 了 从 欧洲 到 
南美 洲 的 跨越 。 马 可 尼 也 因为 这 项 伟大 的 发 明 而 于 1909 年 被 授予 诺 贝 尔 物理 学 奖 。 

在 上 面 的 内 容 中 ,我 们 结合 无 线 电 的 发 现 与 应 用 历史 ， 对 使 用 无 线 电 传 输 信号 的 物理 
学 原理 进行 了 简单 的 解释 。 实 际 上 ,今天 的 无 线 通 信也 是 基于 上 和 面 这 种 工作 原理 实现 的 。 

人 们 把 电磁 波 按 照 波 长 分 为 多 种 类 型 ， 其 中 波长 范围 在 lmm 至 100km 之 间 的 电磁 小 
被 命名 为 无 线 电波 。 表 10-1 列 出 了 各 种 类 型 的 电磁 波及 其 频率 和 波长 。 表 10-1 中 按照 
波长 从 短 到 长 ， 频 率 从 高 到 低 的 顺序 排列 电磁 波 类 型 。 z : 

表 10-1 电磁 波 的 分 类 

无 线 电波 超 高 频 、 高 频 、 低 频 

表 10-1 提 到 了 电磁 波 的 波长 和 频率 ， 波 长 是 指 在 波形 中 ， 两 个 相 邻 波峰 (或 波 谷 ) 
之 间 的 长 度 ; 频率 是 指 每 秒 钟 电磁 波 据 先 的 次 数 。 真 军 中 电 破 波 的 传播 速度 是 光速 ， 约 
等 于 3X10m/s。 在 真空 中 ， 电 磁 波 的 频率 、 波 长 和 速度 有 如 下 关系 : 

波长 X 频 率 = 速 上 度 ( 光 速 ) 

在 实际 应 用 中 ， 无线电 波多 在 空中 传播 ， 因此 公 起 相应 地 变 为 波长 X 频 率 = 速度 《 
光速 。 现 在 我 们 着 重 来 看 无 线 电 波 ， 人 们 在 对 无 线 电 波 进 行 描述 时 ， 多 会 使 用 频率 而 不 
是 波长 。 无 线 电波 的 频率 高 达 300 GHz 低 至 3 kHz， 必 一 些 定义 把 频率 低 于 3 GHz 的 波 
形 摘 述 为 微波 ， 本 书 将 其 统一 称 为 无 线 电波 。 根据 上 述 公 式 , 在 无 线 电波 频率 为 300 GHz 
时 ， 相 应 的 波长 约 为 Imm， 在 频率 为 3 kHz 时 波长 约 为 100km。 不 同 频率 的 无 线 电波 具有 
不 同 的 特性 ， 后 文 会 详细 介绍 。 

在 对 无 线 电 波 有 了 大 致 了 解 后 ， 我 们 来 解释 什么 是 无 线 射频 。 射 频 CRF) 的 全 称 是 
Radio Frequency， 也 就 是 无 线 电 频 率 ， 人 们 在 无 线 电波 的 频率 范围 内 ， 按 照 一 定 规则 分 
出 了 多 个 频段 。 表 10-2 中 列 出 了 无 线 电波 中 各个 频段 的 频率 和 小 长 。 

在 最 初 进行 分 类 的 命名 时 ， 人 们 没有 考虑 到 低频 以 下 ， 以 及 高 频 以 上 的 频段 ， 因 此 
后 来 出 现 了 其 (Very) 、 特 (Ultra) 、 超 (Super) 、 极 (Extremely)、 至 (Tremendously ) 
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这 样 的 命名 。 无 线 电 小 的 频率 市 来 了 不 同 的 特性 : 在 低频 范围 内 ， 无 线 电波 能 够 在 一 定 
程度 上 “ 绕 过 ”障碍 物 ， 但 随 看 传播 距离 渐渐 远离 信号 源 ， 它 的 能 量 也 会 急剧 下 降 。 在 
高 频 范围 内 ， 无 线 电 波 在 遇 到 障碍 物 后 会 反弹 回来 ， 接 收 的 信号 很 大 程度 上 与 信号 的 反 
射 相关 。 

表 10-2 无 线 电波 频段 的 频率 和 波长 范围 





在 实际 的 无 线 电 系 统 应 用 中 ， 有 多 种 类 型 的 传播 方式 ， 本 书 只 关注 视线 传播 (Line 
of Sight Tragsmission) ，VHF 及 以 上 频率 的 无 线 电波 都 依靠 视线 传播 方式 。 视 线 传播 
是 指 无 线 电波 在 从 发 射 天 线 到 接收 天 线 的 传播 过 程 中 ， 是 以 直线 进行 传播 的 。 视 线 传播 
多 用 于 手机 、 无 绳 电 话 、 对 讲 机 、FM 广播 、 雷 达 ， 以 及 无 线 网 络 等 短 距离 无 线 电 传输 ， 
以 及 卫星 电视 、 卫 星 电话 等 卫星 通信 。 

虽然 无 线 电波 能 够 传播 很 长 的 距离 ， 但 所 有 频率 的 无 线 电波 部会 受到 其 他 电器 设备 
的 干扰 ， 因 此 不 同 设备 之 间 的 干扰 是 个 大 问题 。 这 也 是 为 什么 各 国政 府 部 会 出 台 指 施 ， 
对 无 线 电 发 射 器 的 使 用 进行 严格 管制 的 原因 ， 这 其 中 包括 无 线 电 频 率 和 功率 等 参数 。 除 
了 可 以 在 规定 范围 内 使 用 开放 频段 外 ,个 人 和 组 织 机 构 都 不 能 未 经 申请 /许可 就 随意 使 用 
未 开放 频段 。 要 想 使 用 个 人 无 线 电 设备 ， 用 户 应 该 详细 了 解 所 在 国 执行 的 法 律 法 规 ， 以 
免 触 犯法 律 或 对 公众 的 生活 工作 造成 严重 影响 。 本 章 不 会 涉及 政府 管制 的 具体 限制 规程 ， 
但 会 介绍 国际 标准 化 组 织 对 于 无 线 电 频段 使 用 的 规范 。 


10.1.2 频段 与 信道 


频段 这 个 术语 在 10. 1. 1 节 中 就 反复 出 现 了 ， 从 表 10-2 中 可 以 推测 出 ， 频 段 指 的 就 
是 电磁 波 的 一 个 频率 范围 。 比 如 超 高 频 (SHF〉 指 的 就 是 频率 在 3 GHz 一 30 GHz 这 个 范围 
内 的 频段 。 频率 范围 与 IPv4 地 址 空间 一 样 ， 是 宝贵 且 会 耗 尽 的 资源 。 为 了 能 够 合理 地 使 
用 频率 资源 ， 保 证 各 行 各 业 以 及 不 同 的 服务 在 使 用 频率 资源 时 彼此 之 间 不 会 出 现 干扰 ， 
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国际 化 组 织 (ITU-R，10. 1. 3 节 进 行 具体 介绍 ) 负责 对 每 个 通信 系统 ， 以 及 每 种 业务 所 
使 用 的 频段 进行 统一 的 频率 范围 使 用 规定 。 在 有 具体 执行 时 ， 每 个 国家 和 地 区 可 以 在 规定 
许可 的 范围 内 ， 根 据 自 己 的 实际 情况 来 选择 具体 的 实现 方式 。 

ITU-R 的 无 线 电 使 用 规定 为 几 十 种 不 同 的 业务 分 配 了 特定 的 频段 ， 其 中 包括 卫星 通 
信 、 航 空 通信 、 海 上 通信 、 陆 地 通信 、 广 播 、 电 视 、GPS 定位 ， 以 及 无 线 通 信和 等。 不 同 
的 无 线 通信 环境 对 电 破 波 的 传播 效果 构成 了 不 同 的 影响 ，ITU-R 需要 考虑 的 问题 是 根据 
不 同 空间 中 电磁 波 传播 的 特点 来 分 配 频 段 。 在 分 配 频段 时 ，ITU-R 需要 综合 考虑 每 种 通 、 
信 环 境 的 特点 ， 合 理 选择 最 为 适用 的 频率 范围 ， 以 便 能 够 既 节 省 频段 资源 ， 又 能 满足 传 

为 了 利用 无 线 电波 来 传输 信息 ， 人 们 不 仅 把 它 分 出 了 多 个 频段 ， 还 在 每 个 频段 中 分 
出 了 多 个 信道 。 每 个 信道 都 具有 一 定 的 信息 传输 容量 , 通常 使 用 它 的 带宽 (以 Hz 为 单位 ) 
或 数据 速率 (以 bit/s 为 单位 ) 来 对 信道 进行 描述 。 图 10-1 中 摘 绘 了 2. 4 GHz 频段 中 划 
分 出 的 多 个 信道 。 


中 心 频 率 和 信道 


2412 





2.4GHz 2.5SGHz 


mm 
— a 


| 22MHz 


图 10-1 2.4 GHz 频段 中 的 多 个 信道 


图 10-1 中 插 绘 了 2.4 GHz 频段 中 的 多 个 信道 , 2. 4 GHz 频段 的 频率 范围 是 2. 4 GHz 一 
2.5 GHz， 其 中 划分 了 14 个 相互 重 炙 的 信道 。 划 分 规则 如 下 : 每 个 信道 的 宽度 为 22 MHz， 
每 两 个 信道 的 中 心 频率 之 间 间 隔 5 MHz。 因 此 ， 第 一 个 入 道 的 中 心 频率 为 2. 412 GHz、 第 
二 个 信道 为 2.417 GHz、 第 三 个 为 2. 422 GHz， 以 此 类 推 。 

从 图 10-1 中 我 们 也 可 以 春 出 , 有 3 个 用 灰色 表示 的 信道 是 相互 没有 重 登 的 : 信道 1、 
信道 6 和 信道 11。 使 用 相互 不 重 登 的 信道 ， 可 以 避免 信道 之 间 的 干扰 。 

在 ITU-R 的 规范 中 ， 用 来 实现 无 线 通信 的 频段 范围 来 自 ISM 频段 ，ISM 是 工业 、 科 
学 和 医疗 的 缩写 。ISM 频段 指 的 是 未 经 许可 就 可 以 使 用 的 频段 ， 这 个 频段 中 包含 多 种 无 
线 电 应 用 ， 从 微波 炉 到 无 线 电 通 信 。 总 的 来 说 ， 最 常用 于 无 线 通 信 的 ISM 频段 是 2. 4 GHz 


“使 用 2. 4 GHz 频段 的 标准 有 多 个 ， 根 据 不 同 标准 使 用 的 压缩 隔离 信道 技术 的 不 同 ， 每 种 标准 定义 的 非 重 登 信道 的 
编号 以 及 实际 使 用 的 信道 数量 也 会 有 所 不 同 。 本 书 旨 在 通过 图 10-1 展示 的 其 中 一 种 2.4 6Hz 信道 划分 标准 ， 描 
绘 频段 与 信道 的 关系 。 
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和 5 GHz。 在 中 国 ，2. 4 GHz 的 频段 范围 是 2. 412 6Hz 一 2. 472 GHz， 有 最 多 4 个 非 重 殖 
信道 (比如 图 10-1 所 示 的 信道 1、6、11 和 14) ; 5 GHz 的 频段 范围 是 5. 725 GHz 一 5. 825 
GHz， 有 最 多 23 个 非 重 多 信道 。 与 2.4 GHz 频段 相 比 ，5 GHz 频段 受到 的 干扰 较 小 ， 但 
信号 传输 范围 较 近 。 

频段 和 信道 在 应 用 时 的 具体 实现 方法 第 10 章 仅 作 概 念 性 介绍 ，10. 1. 3 节 ( 标 准 化 
组 织 介 绍 ) 将 介绍 前 文 提 到 的 ITU-R，10. 2. 1 节 (802. 11 标准 的 帧 结构 ) 中 将 介绍 一 些 
无 线 通信 标准 。 


10.1.3 ”标准 化 组 织 介绍 


在 10. 1 节 (无 线 概念 ) 中 , 域 们 主要 围绕 看 射频 介绍 了 无 线 的 物理 概念 ，10. 1. 3 
节 要 介绍 的 标准 化 组 织 正 是 10. 1. 2 芝 中 出 现 过 的 ITU-R, 它 负 责 划 分 和 管理 无 线 频段 。ITU-R 
的 全 称 是 国际 电信 联盟 无 线 电 通信 和 部门。 我 们 先 来 介绍 一 下 ITU (International 
Telecommunication Union) ， 这 家 机 构 的 全 称 是 国际 电信 联盟 ， 人 简称 国际 电 联 ， 它 一 共 
建立 了 三 个 部 门 : ITU-R、ITU-T 和 ITU-D。ITU 是 专属 联合 国 的 一 家 非 营利 性 机 构 ， 与 
ITU 成 员 国 政府 (截至 2017 年 共有 193 个 成 员 国 ) 和 700 多 家 私营 机 构 〈 分 类 为 部 门 成 
员 、 部 门 准 成 员 和 学 术 界 ) 开展 国际 合作 。 华 为 技术 有 限 公 司 作为 SI0( 科 学 与 工业 组 
织 ) ， 同 时 是 这 三 个 部 门 的 成 员 。 

1865 年 5 月 17 日 ,20 名 创始 成 员 在 巴黎 签 普 了 第 一 份 国际 电报 公约 (International 
Telegraph Conventidad ; “国际 电报 联盟 (International Telegraph Union) ”就 此 
成 立 ， 它 正 是 ITU 的 前 映 (1934 年 改 用 现 名 ， 又 于 1947 年 成 为 联合 国 专属 机 构 ) 。1880 
年 ， 大 卫 。 爱 德 华 。 休 斯 (David Edward Hughes) 在 伦敦 星 家 学 会 上 省 示 了 一 种 看 不 见 
摸 不 着 的 信 令 传输 ， 其 后 来 被 命名 为 无 线 信 令 。19 世纪 90 年 代 ， 诸 多 发 明 家 开始 进行 
实践 实验 ， 随 后 无 线 电 (被 称 为 “无 线 电报 ”) 诞生 了 。 无 线 电 信号 的 町 关 范围 逐年 增 
加 ， 并 于 1901 年 实现 了 单 向 跨 大 西洋 传输 。 然 而 ， 随 着 技术 的 发 展 ， 各 国 在 对 技术 的 实 
际 应 用 上 产生 了 差异 。 这 种 差异 带 来 的 问题 最 终 在 1902 年 引起 了 重视 : 普鲁士 亨利 王子 
在 穿越 大 西洋 从 德国 访问 美国 的 途中 ， 试 图 从 他 的 船上 向 美国 罗斯 福 总 统 发 送 一 个 礼节 
性 的 问候 。 由 于 船上 的 无 线 电 设 备 类 型 和 国籍 都 与 美国 本 土 不 同 ， 这 次 通信 失败 了 。 随 
后 , 在 德国 政府 的 促成 下 ，1906 年 第 一 次 国际 无 线 电报 会 议 在 柏林 举行 。 在 这 次 会 议 中 ， 
29 个 成 员 国 代表 决定 于 1907 年 5 月 1 日 开始 正式 成 立 ITU 无 线 电 电报 部 门 ， 并 出 台 了 
“国际 无 线 电 报 公 约 ”， 其 中 的 规定 也 就 是 “无 线 电 规则 ”。 迄 今 为 止 ， 这些 规则 经 过 了 
多 次 修改 和 添加 ， 包 含 如 何在 全 球 共 享 和 使 用 无 线 电 频谱 资源 以 及 卫星 轨道 等 诸多 信息 。 
1934 年 ， 马 德里 会 议 上 正式 确立 新 名 称 : ITU。1865 年 的 国际 电报 公约 和 1906 年 的 国际 
无 线 电 报 公约 合并 为 国际 电信 公约 (International Telecommunication Convention) 。 

ITU 在 三 个 领域 中 的 工作 是 以 “部 门 ” 为 单位 ， 通 过 举办 会 议 实现 的 。 下 面 我 们 简 
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单 旬 绍 一 下 巡 三 个 部 门 、 

e ITU-R (ITU Radiocommunication Sector) : ITU 无 线 电 通信 部 门 。 负 责 全 球 
无 线 电 业 务 ， 其 中 包括 无 线 电 频 谱 和 卫星 轨道 的 分 配 和 管理 。 

e ITU-T (ITU Telecommunication Standardization Sector) : ITU 电信 标准 化 
部 门 。ITU-T 出 台 的 标准 ( 称 为 建议 书 ) 是 当今 ICT 网 络 运行 的 根本 。 没 有 ITU-T 
提出 并 更 新 的 诸多 标准 ， 人 们 就 无 法 以 统一 的 方式 实现 信息 传输 、 语 音 和 视频 
压缩 、 互 联网 接 入 等 。 

e ITU-D (ITU Telecommunication Development Sector) : 国际 电 联 电信 发 展 部 
门 。 下 分 为 两 个 研究 组 : 第 1 研究 组 致力 于 “发 展 电信 /ICT 的 有 利 环 境 ” 研 究 ， 
第 2 研究 组 致力 于 “ICT 应 用 、 网 络 安全 、 应 急 通信 和 和 气候 变化 适应 ”的 研究 。 


注 泛 : 

10.1.3 节 针 对 ITU 的 介绍 内 容 均 整理 自 ITU 官方 网 站 ,网址 为 :http:/ /www. ltu.Int/。 
对 ITU 的 完整 发 展 史 以 及 各 部 门 的 详细 介绍 与 动态 感 兴 趣 的 读者 , 可 以 从 这 里 获取 更 多 
更 新 的 资讯 。 


和 10.2 WLAN 运行” ，、 


在 10. 1 节 中 ， 我 们 介绍 了 无 线 电波 的 相关 知识 ， 在 10. 2 节 中 ， 我 们 要 介绍 无 线 网 
络 的 数据 链 路 层 协 议 。 无 线 网 络 使 用 的 射频 标准 由 ITU-R 进行 规范 ， 物 理 层 和 数据 链 路 
层 的 实现 标准 则 由 通常 称 为 Wi-Fi 的 IEEE 802. 11 标准 进行 规范 。 


10.2.1 802.11 标准 的 帧 结构 


电气 和 电子 工程 师 协 会 〈IEEE) LAN/MAN 剑 准 委员 会 (IEEE 802) 于 1997 年 发 布 了 
802. 11 无 线 网 络 标准 ， 这 个 标准 后 来 出 现 了 大 量 的 变 体 ， 均 由 IEEE 802 委员 会 进行 创 
建 和 维护 。802. 11 系列 标准 中 的 第 一 位 成 员 是 802. 11-1997， 现 在 已 被 淘汰 ;802. 11b 
是 第 一 个 广泛 应 用 的 无 线 网 络 标准 ， 其 次 是 802. 11a、802. 11g、802. 11n 和 802. 1lac 等 。 

支持 使 用 2.4 GHz 频段 的 无 线路 由 右上 通常 会 如 此 标识 目 己 文 持 的 标准 : 2.4 GHz 
802. 11b/g/n， 这 说 明 这 台 无 线路 由 器 能 够 文 持 使 用 802. 11b、802. 11g 或 802. 11n 标准 
的 无 线 客户 端 ， 当 无 线 客 户 端 与 它 进 行 连接 时 ， 它 们 会 自动 协商 出 使 用 的 具体 标准 。 这 
个 频段 最 多 只 能 提供 4 个 非 重 欠 信 道 ， 并 且 由 于 工作 在 这 个 频段 上 的 电子 设备 较 多 ， 使 
用 2. 4 GHz 进行 传输 的 无 线 信 号 有 可 能 会 受到 周围 微波 炉 、 无 绳 电话 和 蓝牙 设备 的 干扰 。 
出 于 一 些 原因 ， 比 如 5 GHz 的 使 用 在 一 些 国家 和 地 区 受到 法 规 的 制约 等 ，〔 与 同期 颁布 
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的 802. 11a 标 准 相 比 )802. 11b 是 最 早 被 广泛 应 用 在 商业 产品 中 的 无 线 网 络 标 准 。802. 11g 
和 802. 11n 也 利用 2. 4 GHz 频段 ， 通 过 不 同 的 调制 及 复 用 技术 ， 提 升 了 频段 利用 率 ， 提 
供 了 更 多 天 宽 。 
支持 使 用 5 GHz 频段 的 无 线路 由 器 上 通常 会 如 此 标识 自己 支持 的 标准 : 5 GHz 

802. 11a/n/ac， 这 说 明 它 能 够 连接 使 用 802. 11a、802. 11n 或 802. 11ac 的 无 线 客户 端 。 
802. 11n 能 够 工作 在 2.4 GHz 或 5 GHz 频段 上 ， 无 论 在 哪个 频段 上 工作 ， 它 提供 的 带宽 
容量 都 是 相同 的 。802. 1lac 是 当前 已 经 投入 市 场 的 最 新 802. 11 标准 ， 从 表 10-3 的 对 比 
中 我 们 可 以 看 出 ， 它 提供 的 速率 远 超 过 其 他 几 个 标准 。 

10- 3 和 IEEE 802.11 系列 标准 
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在 本 系列 教材 《网 络 基础 》 第 4 章 中 ， 表 4 5 也 展示 了 一 些 常 用 的 IEEE 802. 11 标 
准 ， 其 中 有 一 列 是 调制 及 复 用 技术 。802. 11 各 标准 的 对 比 中 ， 通 常 都 会 标 出 每 个 标准 所 
使 用 的 调制 及 复 用 技术 ， 很 多 教材 会 用 不 少 篇 幅 对 其 进行 论述 。 笔 者 认为 调制 方式 的 学 
习 属 于 更 基础 的 信号 原理 部 分 , 在 应 用 部 署 中 也 很 少 需要 由 管理 员 对 其 进行 定义 或 修改 ， 
故 本 书 不 进行 深入 挖掘 。 

10. 2.1 节 对 于 802. 11 标准 的 类 型 仅 进 行 基础 介绍 ， 重 点 介绍 IEEE 802. 11 帧 的 格 
式 和 类 型 。 在 无 线 网 络 中 ， 数 据 链 路 层 的 数据 结构 也 称 为 帧 ， 由 IEEE 802. 11 进行 规范 。 
每 个 802. 11 帧 都 由 802. 11 头 部 、 负 载 和 FCS ( 帧 校 验 序列 ) 构成 , 但 也 可 能 有 些 802. 11 
帧 不 携带 负载 。 图 10-2 描绘 了 802. 11 帧 和 802. 11 头 部 的 格式 。 


802.11 头 部 









图 10-2 IEEE 802. 11 帧 头 部 格式 
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如 图 10-2 所 示 ，IEEE 802. 11 头 部 包含 了 很 多 字段 。 其 中 ， 帧 控制 字段 的 长 度 为 
2Byte 〈16bit) ， 这 个 字段 又 分 为 下 面 这 些 子 字段 。 
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协议 版 本 : 长 度 为 2bit， 这 个 字段 当前 的 取 值 为 0。 其 他 取 值 的 作用 目前 尚未 
定义 。 

类 型 : 长 度 为 2bit， 这 个 字段 的 作用 是 标识 这 个 帧 的 类 型 。802. 11 定义 了 三 种 
类 型 的 帧 ， 分 别 为 管理 帧 《 取 值 00) 、 控 制 帧 ( 取 值 01 ) 和 数据 帧 〈( 取 值 10) 。 
子 类 型 ， 子 类 型 字段 的 长 度 为 4bit。 每 种 类 型 的 802. 11 帧 都 有 多 种 子 类 型 ， 
这 个 字段 的 作用 正 是 与 类 型 字段 结合 起 来 ， 标 识 这 个 帧 属于 哪 一 种 子 类 型 。 
ToDS 和 FromDS: 这 两 个 字段 的 长 度 各 为 lbit。 这 两 个 字段 的 作用 我 们 会 在 
10. 2. 2 节 再 进行 说 明 。 

更 多 分 片 (More Fragments， 简 称 MF) : 长 度 为 lbit， 这 1 位 的 作用 与 IP 协 
议 头 部 标记 字段 中 ME (More Fragments) 位 的 作用 相同 。 它 的 作用 是 指明 后 续 
是 否 还 有 这 个 帧 的 其 他 分 片 。 因 此 ， 除 了 最 后 一 个 分 片 这 1 位 取 值 为 9 之 外 ， 
一 个 帧 的 其 他 分 片 的 这 个 字段 取 值 皆 为 1， 即 还 有 更 多 分 片 。 

重 传 : 长 度 为 1bit， 这 1 位 的 作用 是 标识 这 个 帧 是 否 为 重 传 的 帧 。 如 果 是 重 传 
的 帧 ， 那 么 这 1 位 的 取 值 即 为 1。 显 然 ， 这 个 字段 的 作用 是 让 接收 方 识别 出 重 
复 帧 。 

电源 管理 : 长 度 为 lbit， 用 来 指明 发 送 方 的 电源 管理 状态 (是否 为 省 电 模 式 》。 
如 果 发 送 方 工作 在 省 电 模 式 下 ， 则 帧 的 这 1 位 会 取 1。 对 于 AP ( 接 入 点 ) 发 送 
的 帧 中 ， 这 个 字段 取 值 总 为 0。 

更 多 数据 (More Data， 简 称 jMD) 前 面 的 电源 管理 位 标识 了 发 送 帧 的 客户 端 
的 电源 工作 模式 。 如 果 AP 发 现 某 个 客户 端 发 送 的 帧 电源 管理 位 为 1， 它 就 会 在 
这 个 客户 端 休眠 时 为 其 缓冲 帧 ,这 1 位 的 作用 是 通过 缓冲 了 后 续 帧 的 AP 向 使 用 
省 电 模 式 的 客户 端 指示 ， 在 这 个 帧 之 后 还 有 更 多 〈 至 少 一 个 ) 帧 要 进行 发 送 ， 
所 以 暂时 不 要 进入 休眠。 

受 保护 帧 : 长 度 为 lbit， 指 明 这 个 帧 是 否 使 用 了 保护 机 制 进行 加 密 ， 比 如 WEP 
(有线 等 效 保 密 ) 、 守 A 《Wi-Fi 保护 访问 ) 或 WPA2。 在 使 用 了 保护 机 制 的 帧 中 ， 
这 个 字段 的 取 值 为 1。 

顺序 : 长 度 为 1bit， 指 明 接 收 方 是 否 必须 严格 按照 顺序 接收 帧 。 当 只 有 发 送 方 认 
为 接收 方 必须 按照 顺序 接收 这 组 帧 时 , 才 会 将 这 组 帧 的 顺序 位 置 位 ( 即 设置 为 1) 。 
在 大 多 数 情况 下 ， 这 个 字段 的 取 值 都 为 0， 因为 严格 的 按 序 传输 会 降低 传输 性 能 
除 帧 控制 字段 之 外 ，802. 11 头 部 还 包含 了 下 列 字 段 。 

持续 时 间 ID: 这 个 字段 的 长 度 为 2Byte (16bit) 。 这 字段 多 用 来 指明 接收 方 在 
多 长 时 间 内 必须 收 到 下 一 个 帧 。 除 此 之 外 ， 这 个 字段 也 有 一 些 其 他 的 用 法 。 关 
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于 这 个 字段 的 用 法 ， 我 们 在 10. 2. 2 节 中 还 会 进行 简单 的 补充 说 明 。 

。 地址: 802. 11 帧 中 最 多 可 以 携带 4 个 地 址 字段 ， 每 个 字段 中 标记 的 是 一 个 MAC 
地 址 ,MAC 地 址 字段 的 数量 和 顺序 取决 于 ToDS 和 FromDS 字段 的 取 值 ,至 于 802. 11 
帧 中 需要 包含 多 个 MAC 地 址 的 原因 ， 我 们 也 会 在 10. 2. 2 节 中 进行 解释 。 

。 ”序列 控制 : 长 度 为 2Byte (16bit) 。 顾 名 思 义 ， 这 个 字段 的 作用 是 标识 这 个 帧 
的 顺序 。 值 得 说 明 的 是 ， 重 传 帧 〈 即 帧 控制 字段 中 重 传 位 取 值 为 1 的 帧 ) 的 序 
列 控制 号 与 之 前 传输 的 帧 相同 ;同一 个 帧 的 分 片 也 会 使 用 相同 的 序列 控制 号 
这 个 字段 的 目的 是 帮助 接收 端 执行 重复 帧 检测 过 

802. 11 帧 的 负载 长 度 是 可 变 的， 范围 是 从 0 到 2346Byte。FCS 的 长 度 为 4Byte，FCS 
位 于 802. 11 帧 的 末尾 ， 它 也 常 第 称 为 CRC〈 循 环 元 余 校 验 ) ， 设 备 能 够 利用 它 来 检查 帧 
的 完整 性 。 在 设备 发 送 802. 11 帧 之 前 ， 要 计算 FCS 值 并 将 其 附加 在 802. 11 帧 末尾 。 设 
备 接收 到 802. 11 帧 时 ， 也 要 计算 FCS 值 并 将 其 与 接收 到 帧 的 FCS 进行 对 比 ， 如 果 两 个 
FCS 值 相 匹配 ， 则 这 个 802. 11 帧 是 完整 的 。 显 然 ， 这 个 字段 的 作用 与 以 太 网 数据 帧 尾部 
的 FCS 字段 相同 。 

我 们 刚刚 提 到 ， 类 型 和 子 类 型 字段 要 结合 在 一 起 来 标明 802. 11 帧 的 精确 类 型 。 下 
面 , 我 们 分 别 介绍 一 部 分 管理 帧 5 帧 控制 字段 中 的 类 型 字段 取 值 为 00 的 巾 ) 和 控制 帆 ( 帧 
控制 字段 中 的 类 型 字 段 取 值 为 01 的 帧 ) 的 重要 子 类 型 帧 在 这 两 个 字段 取 值 ， 以 及 这 些 帧 
的 作用 。 

在 管理 帧 中 我 们 会 看 到 以 下 (并 不 是 全 部 ) 子 类 型 取 值 。 

。 0x00: 关联 请 求 帧 。 由 无 线 客户 端 发 送 给 AP， 让 AP 能 够 为 它 分 配 资源 并 进行 

同步 。 这 种 类 型 的 802. 11 帧 中 包含 无 线 网 络 的 SSID( 也 就 是 无 线 网 络 的 名 称 )， 
如 果 AP 接受 请 求 的 话 ， 就 会 为 无 线 客户 端 预 留 内 存 并 建立 关联 ID。 

。 0x01: 关联 啊 应 帧 。 由 AP 发 送 给 无 线 客户 端 ， 其 中 包含 对 一 个 关联 请 求 的 处 理 

结果 : 接受 或 拒绝 。 如 果 接 受 的 话 ， 这 个 帧 中 会 包含 关联 ID 等 信息 。 
。 0x02: 重新 关联 请 求 帧 。 当 无 线 客 户 端 从 当前 关联 的 AP 掉 线 并 找到 信号 更 强 的 
AP 时 ， 它 会 使 用 这 个 子 类 型 向 新 AP 发 起 请 求 。 

。 0x03: 重新 关联 响应 帧 。 由 新 AP 发 送 给 无 线 客户 端 ， 其 中 包含 对 一 个 关联 请 求 
的 处 理 结果 : 接受 或 拒绝 。 如 果 接 受 的 话 ， 这 个 帧 中 会 包含 关联 ID 等 信息 。 

。 0x04: 探测 请 求 巾 。 由 无 线 客户 端 发 出 ， 用 来 请 求 男 一 个 无 线 客 户 问 的 消 居 。 

。 0x05:; 探测 响应 帧 。AP 在 收 到 无 线 客户 端 发 来 的 探测 请 求 帧 后 ， 会 以 这 个 子 类 
型 对 无 线 客 户 端 进 行 回 复 。 

。 0x08: 信 标 帧 。AP 周期 性 发 送 的 帧 类 型 ， 用 来 通告 自己 的 存在 。 这 个 帧 中 会 包 
含 SSID 等 信息 

e。 ”0x0A: 解除 关联 由 无 线 客户 端 在 希望 断 开 与 AP 的 连接 时 会 发 送 这 个 类 型 的 帧 。 
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这 种 做 法 能 够 让 AP 释放 为 无 线 客 户 新 预 留 的 内 存 空间 。 

在 控制 帧 中 我 们 会 看 到 以 下 (并 不 是 全 部 ) 子 类 型 取 值 。 

。 0x1B: 请 求 发 送 (RTS) 帧 ; 无 线 客 户 端 在 发 送 数据 之 前 ， 加 接收 方 预约 发 送 时 
间 的 帧 。 关 于 这 个 帧 的 作用 ， 我 们 在 10. 2. 2 节 中 还 会 进行 简单 的 介绍 。 

。 0x1C: 允许 发 送 (CTS) 帧 : 接收 方 的 无 线 客户 端 接受 了 发 送 方 通过 RTS 预约 的 
时 间 ， 并 对 此 作出 的 响应 帧 。 关于 这 个 帧 的 作用 , 我 们 在 10. 2. 2 市 中 还 会 进行 
简单 的 介绍 。 

e 0xlD: ACK《〈 确 认 ) 帧 。 接 收 方 无 线 客户 端 在 接收 到 一 个 802. 11 帧 后 ， 夺 这 个 
帧 通过 了 FCS 校 验 ， 它 就 会 癌 发 送 方 无 线 客户 痛 发 送 一 个 ACK 帧 。 如 果 发 送 方 
无 线 客户 端 在 一 段 时 间 内 都 没有 收 到 ACK 帧 的 话 ， 它 就 会 重新 发 送 相 应 的 
802. 11 帧 。 

在 10. 2. 1 节 中 ， 我 们 对 802. 11 帧 的 封装 结构 进行 了 简单 的 说 明 。 在 10. 2. 2 证 中 ， 

我 们 会 对 无 线 局 域 网 的 工作 原理 进行 简单 的 介绍 。 


10.2.2 无 线 局 域 网 工作 原理 


在 局 域 网 中 使 用 无 线 方式 传输 帧 和 使 用 有 线 方式 传输 帧 显然 存在 很 多 的 差别 ， 这 些 
差别 决定 了 无 线 局 域 网 与 有 线 局 域 网 在 工作 方式 上 的 不 同 。 

无 线 传输 的 范围 是 开放 性 的 ， 无 线 信号 衰减 又 十 分 严重 。 这 决定 了 两 点 : :首先 ， 因 
为 相 比 于 无 线 发 送 方正 在 发 送 的 信号 ， 它 们 接收 到 的 信号 往往 会 衰减 到 极 低 的 水 平 ， 所 
以 无 线 设备 如 果 同 时 发 送 和 接收 数据 ， 其 他 设备 发 送 的 信号 相对 于 这 人 台 设 备 自身 发 出 的 
信号 就 会 显得 十 分 微弱 ， 这 决定 了 无 线 投 备 无 法 同时 收发 数据 。 此 外 ， 发 送 方 无 法 保证 
数据 的 所 有 目标 接收 方 都 在 自己 发 送 的 无 线 电信 号 覆盖 的 范围 之 内 ， 所 以 发 送 方 发 送 的 
任何 数据 都 无 法 保证 可 以 被 局 域 网 中 的 所 有 设备 接收 到 。 这 两 个 因素 决定 了 无 线 局 域 网 
环境 中 必须 引入 避免 冲突 的 机 制 ， 但 又 不 能 直接 将 有 族 局 域 网 中 的 同类 机 制 沿用 到 无 线 
环境 中 。 因 此 ， 我 们 在 下 文中 需要 探讨 这 两 点 对 于 无 线 网 络 规避 冲突 的 机 制 。 首 先 ， 我 
们 先 来 介绍 因 无 线 信和 号 衰减 问题 导致 CSMAVCD 机 制 无 法 适用 于 无 线 环 境 的 原因 ， 并 且 介 
绍 无 线 环境 中 用 来 执行 冲突 检测 的 同类 机 制 。 

在 本 系列 教材 《网 络 基础 》 的 4. 3.4 节 (介质 访问 控制 子 层 ) 中 ， 我 们 提 到 过 有 线 
局 域 网 中 曾经 用 来 检测 冲突 的 CSMA/CD 机 制 。 其 中 ， 冲 突 检 测 〈CD) 机 制 是 指 发 送 方 在 
发 送 数据 的 同时 也 要 侦 听 传输 介质 ， 比 较 自己 传输 的 数据 是 否 与 自己 从 该 介质 上 接收 到 
的 信息 相 一 致 ， 如 果 不 一 致 则 代表 介质 中 发 生 了 冲突 ， 于 是 发 送 方 就 会 将 发 送 数据 的 时 
间 后 退 一 段 随机 的 时 间 ， 然 后 再 进行 数据 发 送 。 但 我 们 在 前 文中 也 提 到 过 ， 无 线 信号 会 
在 传播 的 过 程 中 严重 衰减 。 这 导致 的 结果 是 ， 如 果 无 线 发 送 方正 在 发 送 的 数据 与 其 他 设 
备 发 送 的 数据 在 发 送 方 处 发 生 了 冲突 ， 其 他 设备 发 送 的 数据 在 发 送 方 看 来 也 许 只 是 释 加 
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在 自己 所 发 数据 上 的 一 些微 不 足 道 的 噪声 ， 因 此 发 送 方 并 没有 理由 停止 数据 发 送 。 这 也 
就 是 说 ， 冲 突 检测 机 制 这 种 对 比 接收 数据 与 发 送 数据 的 做 法 不 适合 照搬 到 无 线 网 络 环境 
中 。 无 线 局 域 网 需要 另 一 种 不 同 于 CSMAVCD 的 机 制 来 避免 冲突 的 发 生 。 
通过 《网 络 基 础 》4. 3. 4 节 《〈 介 质 访问 控制 子 层 ) ， 我 们 也 已 经 知道 :在 无 线 局 域 
网 中 ， 数 据 链 路 层 MAC 子 层 所 对 应 的 冲突 规避 机 制 叫 作 CSMA/CA， 即 载波 侦 听 多 路 访问 / 
冲突 避免 机 制 。CSMA/CA 的 冲突 避免 与 冲突 检测 机 制 存在 很 大 差异 。 
。 首先， 采用 CSMA/CA 机 制 的 设备 未 必 会 一 旦 看 到 信道 空 亲 ， 就 迫不及待 地 先 发 
送 ， 它 们 常常 会 直接 后 退 一 段 随机 的 时 间 。 除 翡 这 台 设 备 已 经 很 久 没有 发 送 帧 
(第 一 帧 ) ， 同 时 在 它 打算 发 送 帧 时 检测 到 信道 是 空闲 的 ， 那 么 它 才 会 〈 在 等 待 
一 段 很 短 的 固定 时 长 之 是 〉 直 接 发 送 帧 。 若 不 满足 上 述 情 况 ， 无 论 是 因为 发 送 
方 发 送 的 不 是 (短期 内 的 ) 第 一 个 帧 , 还 是 因为 发 送 方 在 发 送 时 检测 到 信道 忙 ， 
它 都 会 直接 后 退 一 段 随机 的 时 间 。 


上 文中 所 说 的 固定 时 长 称 为 DIFS ( 分布 协调 功能 帧 间 间 隔 ,， 或 DCF 帧 间 间 隔 ) 。 
这 段 时 长 是 为 了 协调 不 同 优先 级 帧 的 发 送 顺序 。 如 果 其 他 无 线 客户 端 待 发 送 帧 优先 级 高 ， 
则 它 等 待 的 DIFS 会 比较 短 。 这 样 可 以 保证 高 优先 级 帧 优先 得 到 发 送 。 


。 ”其 次 ， 采 用 CSMA/CA 机 制 的 设备 不 会 一 边 发 送 一 边 检测 ， 它 们 只 会 把 自己 当前 
要 发 送 的 帧 发 完 。 如 果 后 面 还 有 帧 待 送 ，“〔〈 考 虑 到 这 个 帧 显然 不 是 第 一 帧 ) 也 
需要 回 退 一 段 随机 的 时 间 再 发 。 我 们 在 前 文中 也 提 到 过 ， 这 是 因为 相 比 于 发 送 
方正 在 发 送 的 数据 ， 其 他 设备 发 送 的 无 线 信号 在 发 送 方 这 一 点 往往 太 过 渺小 。 
。 最 后 ， 采 用 CSMA/CA 机 制 的 设备 会 通过 自己 是 否 在 重 传 计时 器 设 定 的 时 间 范 围 
内 接收 到 了 对 方 回复 的 ACK， 来 判断 是 否 需要 重 传 之 前 的 帧 。 反 之 ， 鉴 于 有 线 
网 络 的 通信 环境 比 无 线 网 络 有 保障 得 多 ，CSMA/CD 机 制 不 需要 接收 方 对 自己 接 
收 到 的 帧 进行 确认 。 
总 之 , 当 一 台 无 线 局 域 网 中 的 设备 想 要 发 送 一 组 帧 时 , 它 会 首先 侦 听 信道 是 否 正 忙 。 
如 果 信 道 空 用 ， 它 就 会 等 待 DIFS， 然 后 立刻 发 送 帧 ， 反 之 ， 如 果 信 道 正 忙 ， 它 就 会 将 计 
时 器 设置 一 段 随 机 的 时 间 ， 等 待 计时 器 超时 再 (在 等 待 DIFS 后 ) 执行 帧 的 发 送 。 在 此 期 
” 间 ， 它 会 不 断 俩 听信 道 ， 只 要 信道 处 于 繁忙 状态 ， 它 就 会 中 止 计时 器 的 倒计时 ， 直 到 信 
道 空闲 才 让 计时 器 继续 倒计时 。 当 计时 器 超时 的 时 候 ， 它 就 会 等 待 DIFS， 然 后 发 送 帧 。 
接 下 来 ， 在 这 台 设 备 发 送 后 续 帧 时 ， 无 论 信道 是 否 正 忙 ， 它 都 会 将 计时 器 设置 一 段 随 机 
的 时 间 ， 而 不 会 像 发 送 第 一 个 帧 那样 (在 等 待 DIFS 后 ) 直接 执行 帧 的 发 送 。 
在 上 文中 ， 我们 用 尽 可 能 简单 的 方式 阐述 了 CSMA/CA 机 制 是 如 何 解决 无 线 信 号 衰减 
严重 这 一 问题 的 。 这 在 一 定 程度 上 显示 了 它 与 CSMA/CD 的 不 同 。 然 而 ， 我 们 并 没有 解释 
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CSMA/CA 机 制 如 何 回 应 发 送 方 无 法 保证 无 线 信号 履 盖 到 局 域 网 中 的 所 有 设备 这 一 问题 。 
这 个 问题 会 导致 设备 无 法 通过 CSMA/CA 准确 判断 信道 是 否 正 忙 。 下 面 ， 我 们 来 对 这 一 点 
进行 解释 。 

图 10-3 所 示 为 一 个 简单 的 通信 环境 ， 其 中 STAl 和 STA3 都 希望 和 STA2 进行 通信 。 
STA2 确实 同时 处 于 STAl 和 STA3 的 信和 与 覆盖 范围 之 内 , 但 STA1 和 STA3 彼此 并 不 在 对 方 
的 信号 覆盖 范围 之 内 。 这 也 就 是 说 ，STA1 和 STA3 彼此 接收 到 不 到 对 方 发 送 的 消息 。 正 
是 因为 STA1 和 STA3 彼此 接收 不 到 对 方 发 送 的 信号 ， 所 以 STAL 和 STA3 都 无 法 通过 侦 听 
发 现 还 有 其 他 设备 正在 向 STA2 发 送信 号 , 也 就 无 法 意识 到 自己 不 应 该 癌 STA2 发 送 数据 。 
但 实际 上 ， 它 们 发 送 的 信号 已 经 在 它们 信号 禾 盖 的 范围 内 发 生 了 碰撞 ，STA2 也 无 法 正常 
解读 它们 发 送 的 内 容 。 这 被 称 为 无 线 通信 中 的 隐藏 站 问题 。 
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图 10-3 “无线 通信 的 隐藏 站 问题 


隐藏 站 是 将 常规 冲突 检测 机 制 应 用 于 无 线 环 境 中 ， 有 可 能 导致 漏 报 的 情形 。 此 外 ， 
将 常规 冲突 检测 机 制 应 用 于 无 线 环境 中 , 也 有 可 能 会 导致 误 报 的 情形 。 在 图 10-4 所 示 的 
环境 中 ，STA2 希望 向 STA1 发 送信 息 的 同时 ，STA3 也 希望 向 STA4 发 送信 息 。 由 于 STA2 
和 STA3 彼此 在 对 方 的 无 线 信号 覆 亩 范围 之 内 , 因此 它们 都 检测 到 了 对 方 发 送 的 信号 , 也 
都 理所当然 地 认为 自己 当前 不 能 发 送信 号 。 但 实际 上 ， 它 们 的 信号 发 送 对 象 ， 都 不 在 对 
方 的 无 线 信号 覆盖 范围 之 内 。 因 此 STA2 向 STA1 发 送 数 据 ， 并 不 会 影响 STA3 向 STA4 发 
送 数据 。 这 种 无 线 网 络 发 送 方 因 检测 到 并 不 会 影响 目 己 传输 的 信号 而 停止 传输 的 情况 ， 
被 称 为 暴露 站 问题 。 

为 了 避免 出 现 上 面 的 情况 ，CSMAVCA 规定 无 线 设 备 在 发 送 帧 时 不 仅 要 侦 听 信道 是 否 
正 忙 ， 也 要 侦 听 信道 中 传输 的 帧 ， 获 取 帧 中 携带 的 网 络 分 配 字 段 (Network Allocation 
Vector，NAV) 值 。NAV 值 携带 在 持续 时 间 ID 字段 中 ， 这 个 值 标 识 了 信道 会 被 这 组 数据 
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的 发 送 占 据 多 长 时 间 。 这 就 使 得 无 意 间 侦 听 到 了 帧 的 无 线 局 域 网 设备 可 以 通过 这 个 参数 
了 解 信道 不 可 用 的 时 间 ， 而 不 会 在 这 个 时 间 发 送 帧 。 这 样 一 来 ， 当 这 人 台 无 线 局 域 网 设备 
需要 发 送 帧 时 ， 发 送 〈 携 市 该 NAV 的 ) 帧 的 那 台 设备 对 它 而 言 已 经 变 成 了 隐 藏 站 ， 这 台 
无 线 客户 冰 也 不 会 在 NAV 列 明 会 占用 信道 的 时 间 里 发 送 帧 了 。 根 据 CSMA/CA 的 定义 ， 侦 
听信 道中 是 否 正 在 传输 数据 叫 作物 理 侦 听 ; 通过 侦 听 到 的 帧 中 携带 的 NAV， 判 断 信道 会 
被 占用 到 什么 时 候 ， 则 称 为 虚拟 侦 听 。 
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图 10-4 无线 通 信 的 骏 露 站 问题 


另外 ， 有 一 种 称 为 RTS/CTS 的 可 选 机 制 能 够 进一步 弥补 隐藏 站 的 问题 。 这 种 机 制 就 
像 人 们 在 给 重要 的 人 打 电 话 之 前 ， 有 时 会 先 发 一 条 短信 询问 对 方 “5 分 钟 后 是 否 可 以 和 
我 通 20 分 钟 电话 ”， 通 过 这 种 方法 来 向 对 方 预约 时 间 。 在 发 送 帧 之 前 ， 使 用 这 种 机 制 的 
无 线 设 备 也 会 先 发 送 一 条 RTS (Request to Send， 请 求 发 送 ) 消息 ， 并 且 通 过 RTS 消息 
中 的 NAV 值 向 对 方 预约 信号 发 送 时 长 。 如 果 对 方 响应 了 一 条 CTS (Clear to Send， 人 允许 
发 送 ) ， 即 表示 对 方 接受 了 预约 。 

在 介绍 了 无 线 局 域 网 技术 如 何尝 试 规避 冲突 之 后 ， 下 面 我 们 来 从 更 加 宏观 的 角度 解 
释 无 线 局 域 网 的 工作 原理 。 

无 线 局 域 网 的 拓扑 可 以 分 为 两 种 模式 。 一 种 模式 叫 作 对 等 体 模 式 (Peer Mode) ， 
通过 对 等 体 模 式 建立 的 无 线 局 域 网 也 称 为 自 组 网 络 (Ad Hoc Network) 。 顾 名 思 义 ， 在 
这 种 无 线 局 域 网 中 没有 诸如 AP、 无 线路 由 需 这 样 被 人 们 部 署 在 网 络 中 ， 专 为 其 他 无 线 设 
备 服务 的 网 络 设备 。 网 络 设备 以 对 等 体 的 形式 两 两 建立 无 线 通 信 ， 在 Windows 环境 中 ， 
如 果 我 们 在 管理 无 线 网 络 的 界面 中 选择 创建 临时 网 络 ， 就 相当 于 创建 目 组 织 网 络 ; 我 们 
平时 用 手机 创建 热点 ， 也 是 这 个 功能 。 

另 一 种 模式 叫 作 基础 设施 模式 〈Infrastructure Mode) 。 在 这 种 网 络 中 ， 无 线 客 
户 端 通过 预先 被 人 们 部 署 来 为 客户 端 提 供 服务 的 基础 设施 《如 AP、 无 线路 由 器 等 设备 ) 
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来 建立 通信 。 在 基础 设施 模式 下 , 由 一 个 AP 及 所 有 与 其 相连 的 无 线 客 户 疹 组 成 的 环境 被 
称 为 一 个 基本 服务 集 (Basic Service Set，BSS) ， Was 号 的 
范围 被 称 为 基本 服务 区 (Basic Service Area，BSA) 。 在 一 个 BSS 中 ， 通 党 以 AP 的 MAC 
地 址 作为 这 个 BSS 的 标识 符 ， 称 为 BSSID。 它 与 读者 熟悉 的 SSID 不 同 ，SSID 表示 一 个 无 
线 网 络 的 名 称 ， 只 有 当 AP 与 无 线 客 户 哨 上 设置 相同 的 SSID 时 , 它们 才能 直接 进行 通信 。 
SSID 也 可 以 被 认为 是 ESSTD， 下 一 段 介绍 了 ESS 的 概念 。 

值得 一 提 的 是 ，BSS 还 有 两 个 类 似 的 概念 。IEEE 802. 11 规定 ， 对 等 体 模式 下 建立 
起 来 的 自 组 网 络 称 为 一 个 独立 基本 服务 集 (Independent Basic Service Set) ， 简 称 
IBSS。 在 IBSS 中 ，BSSID 与 AP 的 MAC 地 址 无 关 ， 通 常 是 一 个 全 网 唯一 的 随机 值 。 而 通 
过 有 线 局 域 网 将 多 个 无 线 BSS 连接 起 来 , 组 成 的 环境 叫 作 扩展 服务 集 (Extended Service 
Set) ， 和 何 称 ESS。 所 有 ESS 可 以 为 无 线 客 尸 咒 提供 访问 的 区 域 ， 都 称 为 扩展 服务 区 
(Extended Service Area) ， 人 向 称 ESA。 在 ESA 中， 连接 各 个 AP 的 有 线 网 络 称 为 分 布 系 
统 (Distribution System) ， 人 和 何 称 DS 

图 10-5 所 示 为 这 些 概念 的 解释 。 
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图 10-5 无 线 局 域 网 相关 概念 在 一 个 简单 企业 网 (部 分 〉 中 的 展现 


下 面 , 我 们 结合 图 10-5 和 10. 2. 1 节 中 无 线 IEEE 802. 11 协议 定义 的 一 些 封装 字段 ， 
以 无 线 终端 1 和 无 线 终端 4 的 通信 为 例 ， 解 释 一 下 无 线 网 络 的 通信 过 程 。 
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注 料 : 

在 下 面 的 描述 中 ， 我们 不 考虑 任何 无 线 设备 执行 安全 加 解密 的 过 程 ， 也 不 考虑 网 络 
中 交换 机 填充 自己 的 MAC 地 址 表 、 各 个 设备 执行 .ARP 请 求 的 操作 。 这 也 就 是 说 ,我 们 
默认 通信 开始 时 ,设备 已 经 学 习 到 了 目的 IP 地 址 所 对 应 的 MAC 地 址 ， 交 换 机 的 MAC 
地 址 表 中 也 都 拥有 各 个 客户 端 MAC 地 址 与 端口 的 对 应 关系 , 且 无 线 设 备 没 有 采用 加 密 。 


当 无 线 终端 1 希望 和 无 线 终端 4 通信 时 ， 它 需要 通过 IEEE 802. 11 无 线 网 络 将 帧 发 
送 给 AP1。 所 以 ， 无 线 局 域 网 的 发 送 方 必须 既 能 够 让 自己 这 个 BSS 中 的 AP 意识 到 这 个 帧 
是 发 送 给 它 并 且 需 要 通过 它 桥接 入 有 线 网 络 当中 ， 又 要 让 最 终 的 目的 设备 知道 它 是 这 个 
帧 的 目的 设备 。 这 解释 了 我 们 和 10. 2. 1 节 遗 留 的 问题 一 一 IEEE 802. 11 为 何 需要 定义 多 
个 地 址 字段 。 为 了 标识 这 个 帧 是 不 是 需要 通过 AP 进行 桥接 ，IEEE 802. 11 在 头 部 中 定义 
了 ToDS 和 FromDS 字段 。 既 然 DS 是 指 连 接 不 同 BSS 的 有 线 网 络 ， 对 于 发 送 IEEE 802. 11 
数据 的 无 线 客户 端 来 说 , 如果 这 个 帧 需要 通过 AP 桥接 到 DS 当中 进行 转发 , 它 就 会 将 ToDS 
字段 置 位 《设置 为 1) ; 当 AP 从 DS 中 将 以 太 网 帧 桥接 为 IEEE 802. 11 帧 时 ， 它 则 会 将 
这 个 帧 的 FromDS 字段 置 位 〈 设 置 为 1) 。 从 这 个 角度 上 看 ，ToDS 位 和 FromDS 位 完全 可 
以 近似 理解 为 ToAP 位 和 FromAP 位 ”。 显 然 ，ToDS 位 或 FromDSs 位 置 位 的 帧 至 少 携带 3 个 
MAC 地 址 。 

在 这 个 环境 中 ， 无 线 终端 1 会 封装 这 样 一 个 帧 ， 将 目 己 的 ToDs 字段 置 位 《设置 为 1) ， 
将 地 址 1 字段 的 地 址 设置 为 AP1 的 MAC 地 址 ， 也 就 是 这 个 BSS 的 BSSID (00:9A:CD:AA: 
AA:AA) ， 将 地 址 2 字段 的 地 址 设置 为 目 己 的 MAC 地 址 〈00:9A:CD:11:11:11)》 ， 将 地 址 
3 的 地 址 设置 为 无 线 终端 4 的 MAC 地址 (00:9A:CD:44:44:44) ， 然 后 计算 这 个 帧 的 FCS 
值 ， 将 其 封装 在 帧 尾部 ， 把 这 个 帧 通过 IEEE 802. 11 无 线 接口 以 电磁 波 的 形式 发 送 到 BSA1 
中 ， 如 图 10-6 所 示 。 

在 一 个 ESS 中 ， 接 入 点 (AP) 实际 上 就 是 IEEE 802. 11 网 络 与 有 线 以 太 网 之 间 的 桥 
接点 。 无 线 客户 攻 需 要 发 送 给 有 线 以 太 网 的 帧 需要 在 AP 这 个 码头 上 尾 ,， 有线 以 太 网 中 需 
要 传输 给 无 线 客 户 端的 帧 也 需要 通过 AP 这 个 码头 下 海 ,在 图 10-5 的 示例 中 , 接 入 点 AP1 
在 检测 到 无 线 终端 1 发 送 的 帧 之 后 ， 它 会 首先 对 帧 尾部 封装 的 FCS 执行 检测 ， 判 断 帧 的 
完整 性 。 校 验 通 过 之 后 ，AP1 会 通过 帧 地 址 1 字段 的 MAC 地 址 判断 出 这 个 帧 需要 通过 自 





” 己 桥 接 到 有 线 网 络 当 中 。 接 下 来 ，AP1 会 通过 我 们 在 10. 2. 1 节 中 介绍 的 序列 控制 位 来 对 


帧 执行 重复 帧 检测 。 如 果 通 过 了 重复 帧 检测 〈 且 该 帧 没有 加 密 ， 即 帧 控制 字段 中 的 受 保 
护 帆 位 取 值 为 0) ， 则 AP 还 会 继续 根据 帧 控制 字段 中 的 更 多 分 片 位 ， 判 断 这 个 帆 是 否 是 
条 个 帧 的 分 片 ， 以 及 这 个 分 片 之 后 是 否 还 有 更 多 的 分 片 。 如 是 ， 则 等 每 其 他 分 片 到 达 后 


” 谢 希 仁 教授 编著 的 《计算 机 网 络 (第 7 版 )》 就 以 “去 往 AP” 位 和 “来 自 AP” 位 代 指 了 IEEE 802. 11 封装 中 的 
“ToDS” 位 和 “FromDS” 位 。 在 后 面 的 注释 中 ， 教 授 也 对 此 进行 了 解释 。 
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对 帧 进行 重组 后 再 执行 桥接 ;否则 即 会 开始 桥接 帧 。 


协议 To From ME | 受 保 
和 
00 1 0 0 
srF 地 址 1 地 址 2 
帧 控制 de 00:9A:CD: | 00:9A:CD:; | 序列 控制 
AA'AA'AA ll* L111 | 


802.11 头 部 负载 KS ] 














BSSID: 
OOO:9A‘CD'AA:AA'AA 


- 无 线 终端 1 加 A) 


00:9A:CD:11:11:11 





图 10-6 无 线 终端 1 向 AP1 发 送 IEEE 802. 11 帧 
在 桥接 帧 时 ，AP1 会 将 IEEE 802. 11 帧 地 址 3 字段 的 取 值 (00:9A:CD:44:44:44) 圭 
装 为 以 太 网 数据 帧 的 目的 MAC 地 址 ， 将 IEEE 802.11 帧 地 址 2 字段 的 取 人 IO 
(00:9A:CD:11:11:11) 封装 为 以 太 网 数据 帧 的 源 MAC 地 址 。 这 样 就 得 到 了 一 个 以 无 线 终 
端 1 的 MAC 地 址 作为 源 MAC 地 址 ， 以 无 线 终端 4 的 MAC 地 址 作为 目的 MAC 地 址 的 以 太 网 
数据 帧 头 部 。 于 是 ，AP1 会 使 用 新 的 以 太 网 数据 帧 头 部 颈 这 个 以 太 网 数据 帧 进行 FCS 重 
新 计算 ， 并 且 将 计算 结果 封装 在 以 太 网 数据 帧 的 尾部 。 接 下 来 ，AP1 就 会 通过 有 线 网 络 
适配器 接口 将 这 个 数据 帧 发 送 到 和 纷 布 系统 ( 即 有 线 网 络 ) 当中 ， 如 图 10-7 所 示 。 


为 求 简单 清晰 ， 也 为 了 更 好 地 对 应 我 们 在 10.2.1 节 中 介绍 的 内 容 ， 我 们 在 上 面 的 描 
述 中 省 略 了 AP 在 桥接 时 处 理 其 他 IEEE 802.11 字段 的 方式 。 


当 交 换 机 2 接收 到 AP1 发 送 过 来 的 数据 帧 时 ， 它 会 查询 自己 的 MAC 地址 表 ， 判 断 出 
应 该 将 以 无 线 终端 4 的 MAC 地 址 作为 目的 MAC 地 址 的 数据 帧 通过 与 交换 机 3 相连 的 接口 
转发 出 去 。 而 当 交 换 机 3 通过 与 交换 机 2 相连 的 接口 接收 到 这 个 数据 帧 时 ， 它 也 会 查询 
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自己 的 MAC 地 址 表 ， 判 断 出 应 该 将 以 无 线 终端 4 的 MAC 地 址 作为 目的 MAC 地 址 的 数据 帧 
通过 连接 AP2 的 接口 转发 给 AP2。 


地 址 1 
帧 控制 持续 时 间 | 00:9A:CD: 
1D AA:AA:AA 


802.11 头 部 


” -请 一 二 上 


地 址 2 







00:9A:CD: 
Mssll 





” 帧 起 始 定 界 符 
na AAAAA OxAB 00: a = i 44:44 00:9A: ee + 1:11:11 


图 10-7 en 有 线 数据 帧 的 桥接 与 


AP2 在 接收 到 这 个 以 太 网 数据 帧 时 ， 会 对 AP1 计算 的 FCS 执行 校 验 。 接 下 来 ，AP2 
会 查看 这 个 以 太 网 数据 帧 头 部 封装 的 目的 MAC 地 址 ， 判 断 这 个 数据 帧 的 目的 设备 《〈 即 无 
线 终 端 4) 是 否 是 自己 关联 的 无 线 客 户 端 。 如 是 ， 则 根据 该 无 线 客户 端 〈 此 前 发 送 数据 
帧 中 电源 管理 字段 数值 标识 ) 的 电源 管理 方式 ， 决 定 是 否 对 帧 执行 缓存 ， 等 待 无线 客户 
庙 结束 休眠 再 执行 发 送 。 

在 实际 向 无 线 局 域 网 中 发 送 该 帧 时 ，AP2 会 将 这 个 以 太 网 数据 帧 的 FromDS 位 置 位 ， 
标识 这 是 一 个 通过 AP 桥接 到 无 线 以 太 网 中 的 帧 ， 并 且 将 这 个 帧 的 目的 MAC 地 址 
(00:9A:CD:44:44:44) 转换 为 IEEE 802. 11 头 部 的 地 址 1 字段 ; 将 自己 的 MAC 地 址 ， 也 
即 BSSID (00:9A:CD:BB:BB:BB) 转换 为 这 个 帧 IEEE 802. 11 头 部 的 地 址 2 字段 ; 将 这 个 
以 太 网 数据 帧 的 源 MAC 地 址 (00:9A:CD:11:11:11) 转换 为 IEEE 802. 11 头 部 的 地 址 3 

字段 。 同 时 ，AP2 还 会 根据 一 系列 因素 判断 如 何 封 装 这 个 IEEE 802. 11 帧 头 部 的 其 他 字 
段 ( 例 如， 根据 是 否 加 密 该 帧 判断 如 何 设置 这 个 IEEE 802. 11 帧 帧 控制 字段 的 受 保护 帆 
位 等 。 根 据 无 线 终端 4 的 电源 管理 模式 以 及 目 己 是 否 缓存 了 其 他 发 送 给 无 线 终 疹 4 的 帧 ， 
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判断 如 何 设 置 IEEE 802. 11 帧 帧 控制 字段 的 MD 位 等 ) ， 然 后 使 用 新 的 IEEE 802. 11 帧 头 
部 对 这 个 无 线 帧 进行 FCS 重新 计算 ,并 且 将 计算 结果 封装 在 这 个 IEEE 802. 11 帧 的 尾部 。 
接 下 来 ，AP2 就 会 通过 无 线 网 络 适 配器 接口 将 这 个 帧 以 电厂 波 的 形式 发 送 到 BSA2 中 。 无 
线 终端 4 在 检测 到 这 个 帧 时 , 即 可 通过 帧 地 址 1 字段 的 数值 , 判断 出 这 是 AP 从 有 线 网 络 
中 桥接 给 上 自己 的 帧 ， 如 图 10-8 所 示 。 















地 址 3 
00:9A:CD: 
ley 


















00:9A:CD: 
BB:BB:BB 


序列 控制 地 址 4 


持续 时 间 
帧 控制 a 


人 一 一 一 










802.11 头 部 


Ds hs a 


AS 计算 




















BSSID: 

00:9A:CD:BB:BB:B | wo 

pi J , 无 线 终端 4 
\ 00:9A.CD:44:4 






帧 起 始 定 界 符 
OxAB 


前 导 码 
OxAAAAAAAAAAAAA 





图 10-8 AP2 执行 有 线 到 无 线 帧 的 桥接 与 发 送 
在 上 文中 ， 我们 对 一 个 ESS 中 的 帧 发 送 、 桥 接 和 转发 流程 进行 了 描述 。 在 前 文中 我 们 
曾经 说 过 ， 当 AP2 接收 到 一 个 交换 机 3 转发 过 来 的 以 太 网 数据 帧 时 ， 会 根据 这 个 数据 帧 以 
太 网 头 部 封装 的 目的 MAC 地 址 来 判断 这 个 数据 帧 的 目的 设备 是 否 与 自己 进行 了 关联 。 这 里 
的 问题 是 ， 无 线 客户 并 与 AP 之 间 最 初 是 如 何 建立 关联 的 ? 所 谓 的 关联 ， 究 竞 是 指 什么 ? 
无 线 客户 端 与 AP 建立 关联 的 流程 可 以 大 致 分 为 3 步 。 
第 1 步 无 线 客 户 端 发 现 BSA 中 的 AP。 
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无 线 客户 端 发 现 AP 的 方式 有 两 种 ， 一 种 是 AP 通过 信 标 帧 定期 在 BSA 中 通告 自己 的 
存在 , 让 进入 这 个 BSA 的 无 线 客户 端 能 够 检测 到 AP 定期 发 送 的 帧 , 并 且 凭 借 帧 中 携带 的 
SSID 发 现 这 个 AP。 在 这 种 模式 下 无 线 客户 端 是 被 动 发 现 AP 的 ， 因 此 这 种 模式 称 为 被 动 
模式 ， 与 被 动 模式 相对 的 是 主动 模式 。 在 主动 模 中 ， 无 线 客户 端 会 主动 在 BSA 中 发 送 携 
带 AP SSID 的 帧 执行 探测 请 求 ， 期 竺 AP 对 探测 请 求 作 出 啊 应 ， 一 旦 AP 作出 了 啊 应 ， 无 
线 客户 端 即 发 现 了 AP。 显 然 ， 主动 模式 要 求 无 线 客户 端 事先 已 经 知道 BSA 中 的 SSID。 如 
果 管 理 员 出 于 安全 考虑 禁止 AP 定期 自动 发 布 信 标 帧 〈 不 广播 SSID) ， 无 线 客户 端 就 只 
能 提前 知道 自己 需要 连接 的 SSID， 而 选择 手工 添加 SSIB 旭 通过 主动 模式 来 发 现 AP 了 。 

第 2 步 无 线 客 户 端 向 AP 认证 自己 的 身份 。 

如 果 AP 需要 无 线 客户 端 提 猴 身份 认证 ， 那 么 当 无 线 客户 端 提出 认证 请 求 之 后 ， 它 
就 会 发 送 一 个 消息 要 求 无 线 客户 跨 用 预 共享 密 钥 (Preshared Key， 人 简称 PSK) 对 这 个 消 
息 进 行 加 密 。 如 果 AP 接收 到 的 〈 无 线 客户 端 ) 加 密 结 果 ， 可 以 使 用 自己 的 预 共享 密 钥 进 
行 解密 ， 且 解密 后 的 消息 与 加 密 前 发 送 的 消息 一 致 ， 即 代表 无 线 客户 端 通过 了 认证 。 关 
于 这 一 步 我 们 还 会 在 10. 3 节 中 进行 说 明 。 

第 3 步 ” 双 方 建立 关联 。 

在 通过 认证 之 后 ， 无 线 客户 端 就 会 发 送 关 联 请 求 帧 请 求 AP 与 自己 建立 关联 ， 这 个 
关联 请 求 帧 中 会 包含 自己 的 MAC 地 址 ， 接 收 到 关联 请 求 帧 的 AP 会 通过 关联 响应 帧 作出 回 
复 ， 并 且 将 这 办 MAC 地 址 与 一 个 关联 标识 符 (Association Identifier，AID) 建立 对 应 
关系 。 这 种 对 应 关系 可 以 与 以 太 网 交换 机 MAC 地 址 表 中 ， 交 换 机 端口 与 相连 设备 MAC 地 址 
之 间 的 对 应 关系 进行 类 比 。 我 们 在 前 面 示例 中 提 到 过 ， 当 AP 接收 到 一 个 有 线 以 太 网 数据 
帧 时 , 会 通过 其 头 部 封装 的 目的 MAC 地 址 来 判断 这 个 数据 帧 的 目的 设备 是 否 是 目 己 关联 的 
无 线 客户 端 ， 这 正 是 通过 查找 关 联 无 线 客 户 端的 MAC 地 址 与 AID 之 间 的 对 应 关系 来 实现 的 。 

在 10. 2. 2 节 中 , 我 们 首先 比较 了 无 线 局 域 网 传输 机 制 与 有 线 局 域 网 传输 机 制 的 差异 ， 
并 由 此 对 无 线 局 域 网 避免 冲突 的 机 制 进行 了 说 明 。 接 下 来 ， 我们 对 无 线 局 域 网 的 拓扑 分 类 
和 一 些 术 语 进 行 了 说 明 ， 并 通过 (一 个 ESS 中 ) 从 一 个 BSS 的 无 线 客户 端 发 送 到 男 一 个 BSS 
的 无 线 客户 端的 帧 所 经 历 的 处 理 流程 , 介绍 了 帧 在 无 线 局 域 网 和 有 线 局 域 网 中 的 封装 、 桥 接 
和 转发 方式 。 最 后 ， 我 们 对 无 线 客 户 端 与 AP 之 间 建 立 关 联 的 流程 进行 了 简单 的 说 明 。 

关于 无 线 局 域 网 更 加 详细 的 工作 方式 ， 我 们 在 这 里 不 再 进一步 展开 在 10. 3 节 中 ， 说 明 。 

我 们 需要 把 着 眼 点 放 到 无 线 局 域 网 的 安全 性 上 。 


10.3” 无线 LAN 的 安全 性 
我 们 在 10. 2. 2 节 (无 线 局 域 网 工作 原理 ) 中 曾经 提 到 过 无 线 传 输 的 范围 是 开放 
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性 的 , 所 以 发 送 方 无 法 保证 数据 的 所 有 目标 接收 方 都 在 自己 发 送 的 无 线 电信 号 覆盖 的 
范围 之 内 。 由 此 ， 隐 藏 站 和 暴露 站 成 为 了 在 有 线 网 络 中 并 不 存在 ， 但 在 无 线 网 络 中 却 
有 可 能 出 现 的 问题 。 

然而 , 一 些 原本 应 该 接收 到 局 域 网 数据 的 接收 方 有 可 能 因为 发 送 方 传输 信和 号 的 履 
盖 范 围 有 限 而 没有 接收 到 信号 ,这 是 无 线 局 域 网 传输 范围 (与 有 线 局 域 网 ) 不 同 所 导 
致 的 问题 之 一 。 另 一 种 由 于 无 线 局 域 网 传输 范围 异 于 有 线 局 域 网 而 有 可 能 导致 的 问题 
同样 值得 思考 ， 因 为 无 线 网 络 的 传输 范围 是 开放 的 ， 所 以 发 送 方 同样 也 无 法 确保 那些 
没有 获得 授权 的 设备 不 会 出 现在 自己 发 送 的 无 线 电 信号 获 盖 的 范围 之 内 。 因此, 一些 
已 经 在 有 线 局 域 网 的 实践 中 被 证 明 是 真理 的 安全 措施 并 不 适用 于 无 线 局 域 网 环境 中 。 
关于 这 一 点 ， 网 络 管理 员 在 部 署 无 线 局 域 网 之 前 应 该 十 分 清楚 ， 而 这 也 正 是 10.3.1 
季 要 进行 讨论 的 话题 。 


10.3.1 无 线 LAN 的 隐患 


一 方面 因为 网 络 技术 从 业者 大 都 更 喜爱 探讨 、 钻 研 和 实施 对 于 普罗 大 众 而 言 高 深 葛 
测 的 抽象 技术 ， 一 方面 也 因为 网 络 技术 人 员 对 于 企业 网 项 目 中 甲 方 的 办 公 环 境 和 安全 现 
状 确实 没有 太 多 置 嗓 的 空间 ， 所 以 尽管 很 多 网 络 安全 技术 作品 的 作者 不 厌 其 烦 地 强调 物 
理 安全 的 重要 性 ， 但 有 些 企 业 网 络 的 物理 安全 规范 实际 上 仍 付 之 益 如 。 这 旦 所 说 的 物理 
安全 规范 包括 限制 人 员 随 意 进 入 办 公 区 域 的 准则 ， 例 如 办 公 区 域 应 刷卡 进入 ， 安 装 十 字 
转 门 确保 一 卡 一 人 ;不 在 无 人 值守 区 域 提供 有 线 接 入 接口 等 。 实 际 上 ， 上 述 机 制 是 在 建 
议 网 络 技术 人 员 留 意 对 有 线 局 域 网 介质 的 保护 ， 防 止 外 来 人 员 未 经 许可 就 接 入 到 有 线 局 
域 网 介质 当中 ， 窃 取 有 线 网 络 中 传输 的 数据 。 

然而 ， 无 线 介 质 本 身 就 是 一 个 开放 的 区 域 ， 人 们 无 法 采用 限制 外 来 人 员 访 问 有 线 介 
质 的 物理 安全 策略 来 限制 外 来 人 员 接 入 无 线 局 域 网 的 介质 。 一 家 企业 部 署 的 无 线 局 域 网 
发 出 的 信号 ， 难 免 会 传递 到 该 企业 无 法 管辖 的 区 域 之 申 。 

既然 要 对 数据 进行 加 密 , 当然 要 保证 不 是 每 个 人 都 存 资格 参与 这 个 无 线 局 域 网 的 数据 
传输 。 因 此 ， 同 样 应 该 考虑 在 无 线 局 域 网 中 使 用 的 安全 措施 还 有 认证 机 制 。 也 就 是 说 ， 对 
于 加 密 的 无 线 局 域 网 ， 需 要 通过 上 身份 认证 机 制 来 保证 能 够 与 AP 建立 关联 的 设备 都 是 合 
的 无 线 客户 端 。 

这 里 值得 注意 的 是 ， 无 线 局 域 网 不 仅 比 有 线 局 域 网 更 需要 配备 认证 机 制 ， 而 且 无 线 
局 域 网 不 适合 采用 用 户 单方 面向 AP 提供 认证 数据 的 做 法 。 诚 然 , 没有 人 会 在 自己 的 有 线 
局 域 网 环境 中 接 过 一 条 连接 在 陌生 人 或 访客 设备 上 的 网 线 ， 把 它 的 RJ-45 接头 插 在 自己 
笔记 本 电脑 的 网 络 适 配器 接口 上 。 然 而 ， 在 无 线 环境 中 插入 恶意 设备 ， 隐 项 性 无 疑 增强 
了 很 多 。 攻 击 者 可 以 通过 设置 ， 把 自己 的 无 线 笔记 本 电脑 变 成 一 个 AP， 并 且 冒 用 与 合法 
无 线 局 域 网 相同 的 SSID 发 布 信息 。 所 以 ， 如 果 认 证 措施 只 是 用 户 向 AP 提供 预 共享 的 用 
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户 名 和 密码 ， 那 么 非法 用 户 只 需 要 将 目 己 伪装 成 一 台 AP， 就 可 以 获取 到 合法 用 户 发 送 过 
来 的 用 户 名 和 密码 ， 并 且 根 据 这 些 信息 连接 合法 的 无 线 局 域 网 。 所 以 ， 无 线 局 域 网 中 部 
普 的 认证 机 制 应 该 是 双向 的 ， 即 无 线 客 户 跨 和 AP 都 对 对 方 执 行 认证 。 

除了 上 面 这 些 隐 患 之 外 ， 无 线 网 络 共享 开放 信道 的 通信 模式 也 给 攻击 者 回 无 线 局 域 
网 中 发 送 恶 意 流 量 提 供 了 更 多 契机 。 在 有 线 网 络 环境 中 ， 攻 击 者 必须 至 少 要 能 在 物理 上 
接 入 到 局 域 网 中 , 才能 将 自己 的 恶意 流量 发 送 到 这 个 网 络 当 中 。 而 在 无 线 局 域 网 环境 中 ， 
攻击 者 只 需要 恶意 占用 这 个 无 线 局 域 网 的 信道 ， 让 其 他 无 线 客户 端 都 无 法 发 送 帧 ， 就 可 
以 轻易 实现 拒绝 服务 攻击 。 亚 意 占 用 信道 的 方式 很 多 ,- 直 如 攻击 者 可 以 采用 物理 的 方式 
放置 一 个 与 无 线 局 域 网 通信 频率 同 频段 的 信号 源 ， 让 它 在 这 个 无 线 局 域 网 的 信号 履 商 范 
围 内 持续 发 送 同 频率 信和 号; 也 两 以 采用 冰 辑 的 方式 ， 让 自己 的 无 线 客户 端 在 无 线 局 域 网 
中 不 断 发 送 我 们 在 10. 2. 1 节 (802. 11 标准 的 帧 结构 ) 和 10. 2. 2 节 (无 线 局 域 网 工作 原 
理 ) 中 介绍 过 的 CTS 帧 ， 让 信号 覆盖 范围 内 的 所 有 无 线 客 户 端 都 等 待 CTS 指定 的 NAV 时 
间 范 围 ， 而 在 这 个 时 间 范 围 之 内 ， 攻 击 者 就 可 再 次 发 送 CTS 帧 让 其 他 无 线 客户 端 继续 等 
符 ， 以 此 达到 持续 占用 信道 的 目的 。 

有 一 点 必须 补充 说 明 ， 在 无 线 局 域 网 中 发 起 拒绝 服务 攻击 往往 只 是 攻击 者 的 手段 ， 
而 不 是 目的 。 发 起 拒绝 服务 攻击 的 目的 常 第 是 为 了 让 受 波 及 的 无 线 客户 端 重新 与 AP 建立 
关联 。 在 此 期 间 , 攻击 者 可 以 通过 大 量 无 线 客户 端 与 AP 之 间 相 互 认证 和 建立 关联 所 发 送 
的 帧 ， 得 到 有 助 于 破解 这 个 无 线 网 络 加 密 信息 的 数据 。 

在 10. 3. 1 节 中 ， 我 们 对 无 线 局 域 网 中 有 可 能 存在 的 隐患 进行 了 说 明 。 在 10. 3.2 节 
中 ， 我 们 会 对 无 线 局 域 网 中 的 安全 算法 进行 概述 。 





10.3.2 保护 无 线 LAN 通信 


可 以 想象 ， 随 着 人 们 认识 到 无 线 局 域 网 ( 相 比 于 有 线 局 域 网 ) 的 安全 隐患 ，IEEE 势 
必 会 推出 一 系列 与 之 配套 的 安全 机 制 来 缓解 或 者 防止 这 些 隐患 的 发 生 。 在 10. 3. 2 节 中 ， 
我 们 会 对 无 线 局 域 网 中 曾经 以 及 当前 正在 应 用 的 三 种 安全 机 制 进行 介绍 。 

IEEE 最 初 推出 的 无 线 局 域 网 标准 安全 机 制 称 为 有 线 等 效 保密 (Wired Equivalent 
Privacy，WEP) ，“ 有 线 等 效 ” 表 达 了 IEEE 对 这 种 安全 机 制 的 期 许 一 一 它们 希望 通过 
WEP， 可 以 让 无 线 局 域 网 达到 有 线 局 域 网 的 安全 水 准 。 这 也 就 是 说 ，IEEE 认为 将 这 个 协 


” 议 应 用 到 无 线 局 域 网 中 ， 就 可 以 抵消 各 类 无 线 局 域 网 的 安全 隐患 。 不 过 ， 以 后 来 的 结果 


推论 ，IEEE 对 这 个 协议 的 安全 性 估计 得 过 于 乐观 了 。 下 和 面 ， 我 们 来 简单 介绍 一 下 这 个 安 
全 协议 的 工作 机 制 。 

WEP 可 以 为 无 线 局 域 网 中 的 通信 提供 身份 认证 、 数 据 加 密 和 完整 性 校 验 服 务 。 这 项 
协议 并 没有 定义 密 钥 分 发 机 制 ， 它 认为 密 钥 者 是 预先 配置 在 无 线 局 域 网 基础 设施 上 ， 并 
昌 通 过 其 他 方式 告知 了 合法 的 无 线 局 域 网 用 户 的 ， 我 们 在 下 文中 暂时 称 这 个 预 共 至 密 角 
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为 K， 它 的 长 度 是 40bit， 这 40bit 的 密 钥 K 会 用 来 加 密 这 台 (运行 WEP 的 ) 无 线 设备 发 
送 的 所 有 帧 。 除 了 这 40bit 的 共享 密 钥 之 外 ， 运 行 WEP 的 设备 在 每 次 对 一 个 帧 进行 加 密 
时 ， 都 会 再 生成 一 个 用 来 对 这 个 帧 进行 加 密 的 24bit 初始 化 向 量 (Initialization 
Vector， 人 简称 IV) ，IV 虽然 会 被 用 来 对 这 个 帧 进行 加 密 ， 但 是 在 发 送 这 个 帧 时 会 以 明文 
的 形式 携带 在 帧 中 。K 和 IV 所 组 成 的 64 位 数据 称 为 WEP 种 子 (WEP seed) 。 


注 粹 : . 
WEP 只 使 用 64 位 密码 是 因为 美国 政府 对 于 密码 技术 设置 了 出 口 限 制 。 当 美国 政府 
放松 了 出 口 限制 之 后 ,很 多 厂商 都 推出 了 支持 128 位 WEP 种 子 的 产品 ， 其 中 104 位 是 
预 共 享 密 钥 的 长 度 ， 而 IV 长 度 仍 为 24 位 。 


WEP 需要 加 密 的 流量 包括 竺 传输 的 数据 载 倚 ， 以 及 无 线 设 备 根据 数据 载荷 计算 出 来 
的 CRC-32 校 验 码 。 接 收 方 设备 在 对 数据 执行 解密 之 后 ， 就 会 使 用 这 个 CRC-32 校 验 码 来 
校 验 这 个 帧 在 传输 的 过 程 中 是 否 草 到 了 算 改 。 

接 下 来 ， ee RC4 流 密 码 算 法 ， 把 64 位 的 WEP 种 子 计 算 为 一 个 密码 流 
CKis Rss: Bos 。 并 使 用 这 个 密码 流 中 的 每 一 个 密码 ， 与 待 加 密 数据 〈 即 数据 载 
荷 和 CRC-32 kent 中 的 每 一 个 字 节 执行 异 或 运算 ， 得 到 加 密 后 的 数据 载 何 ， 这 就 是 
WEP 加 密 的 原理 ， 其 整个 流程 如 图 10-9 所 示 。 





年 CRC 计 算 





图 10-9 WEP de 
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注 料 : 
RC4 的 具体 计算 过 程 和 流 密码 算法 的 工作 原理 超出 了 本 书 的 介绍 范围 , 我 们 在 这 里 
不 作 葡 述 。 


在 对 明文 载 答 和 CRC-32 部 分 与 密 钥 流 一 一 执行 异 或 之 后 ， 得 到 的 结果 就 是 WEP 帧 
的 加 密 载荷 。 在 封装 其 他 字段 〈 包 括 明 文 的 IV) 之 后 ， 无 线 设备 就 会 将 这 个 帧 发 送 到 无 
线 信 道 当 中 。 接 收 方 接收 到 帧 之 后 ,会 对 预 共 享 密 钥 K 和 帧 头 部 携带 的 IV 执行 RC4 运算 ， 
获得 与 发 送 方 加 密 时 相同 的 密码 流 ， 并 且 使 用 密码 流 来 车 接收 到 的 帧 进行 解密 ， 并 进行 

上 面 是 这 个 协议 的 原理 ， 书 面 我 们 来 说 说 这 个 协议 提供 的 安全 性 保障 为 什么 无 法 满 
足 IEEE 对 于 它 的 期 符 。 ， 

首先 ， 攻 击 者 可 以 让 BSS 中 的 某 位 无 线 用 户 向 自己 发 送 攻击 者 提前 已 经 知道 解密 后 
明文 数据 的 帧 “ 即 明 知 故 问 ， 目 的 是 为 了 获得 加 密 后 的 数据 ) ， 这 可 以 通过 IP 欺骗 来 实 





(预先 知道 的 ) 明文 
图 10-10 攻击 者 使 用 异 或 计算 出 密码 流 


通过 上 面 的 流程 ， 攻 击 者 可 以 建立 一 个 上 述 ( 欺 骗 得 到 的 ) 帧 对 应 的 密码 流 与 该 帧 
头 部 携带 的 TV 之 间 的 对 应 关系 ， 并 且 不 斯 通过 欺骗 攻击 来 填充 这 个 密码 流 与 IV 的 对 应 
_ 表 。 随 着 攻击 者 在 网 络 中 发 起 欺骗 的 数量 越 来 越 多 ， 这 个 对 应 表 就 会 越 来 越 充 实 ， 攻 击 
者 接收 到 的 正常 帧 “无线 局 域 网 中 传输 的 帧 ) 头 部 的 IV 与 这 个 对 应 表 中 IV 发生 匹 配 的 
概率 也 就 会 越 高 ， 这 意味 看 这 个 无 线 局 域 网 中 传输 的 加 密 帧 能 够 被 攻击 者 解密 的 概率 也 
越 来 越 高 ， 如 图 10-11 所 示 。 

当然 ， 真 正 的 IV 是 一 个 24 位 的 二 进 制 数 ， 理 论 上 攻击 者 需要 建立 2 =16777216 条 
对 应 关系 才能 解密 无 线 网 络 中 传输 的 所 有 数据 ， 而 且 一 旦 这 个 无 线 局 域 网 的 管理 员 更 换 
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省 预 共 享 密 钥 ， 之 前 收集 的 条 目 也 就 晕 无 意义 了 。 然 而 ， 在 实际 攻击 中 ， 攻 击 者 只 需要 
1 分 钟 左右 的 时 间 ， 束 可 以 完成 对 WEP 的 破解 。 任 何人 都 可 以 通过 免费 的 黑客 软件 破解 
WEP 协议 保护 的 无 线 网 络 。 因 此 ， 任 何 希 望 〈 自 己 管理 的 ) 无 线 局 域 网 拥有 可 靠 安 全 机 
制 的 技术 人 员 都 不 应 该 使 用 WEP 保护 自己 的 无 线 局 域 网 。 
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人 IV 我 收集 过 
了 ， 这 个 帧 我 可 以 
解密 攻击 者 的 笔记 本 





图 10-11 攻击 者 破解 WEP 的 方式 之 一 (字典 攻击 ) 


由 于 WEP 遭 到 破解 ，IEEE 必须 为 无 线 局 域 网 安全 提供 新 的 解决 方案 。2003 年 ，IEEE 
定义 了 一 个 过 渡 性 的 无 线 网 络 安 全 机 制 以 尽快 替代 安全 性 堪忧 的 WEP, 这 个 机 制 称 为 WPA 
(Wi-Fi Protected Access) 。 同 时 ， IHEE 还 在 加 崇 尝 试 定义 更 加 完备 的 安全 机 制 |。 

WPA 在 很 大 程度 上 沿用 了 WEP 的 流程 与 算法 ， 这 是 为 了 让 曾经 支持 WEP， 但 现在 吸 
需 使 用 更 加 可 徘 安 全 机 制 的 用 户 所 使 用 的 固件 (通过 简单 的 升级 就 〉 能 对 新 的 WPA 安全 
机 制 提供 支持 。 尽 管 如 此 ，WPA 还 在 私密 性 、 反 重 放 攻击 和 完整 性 上 对 WEP 进行 了 改善 。 

在 私密 性 方面 它 (WPA-PSK) 采用 的 临时 密 钥 完整 性 协议 (Temporal Key Integrity 
Protoco1l， 人 简称 TKIP) 也 会 使 用 预 共享 密 钥 〈 长 度 为 128 位 ) 与 IV 结合 的 方式 对 每 个 
帧 生成 一 个 种 子 密 钥 ， 然 后 使 姑 RC4 流 密码 算法 计算 出 密码 流 ， 并 且 对 加 密 数 据 一 一 执 
行 异 或 运算 以 达到 加 密 的 效果 。 不 过 ，WPA 把 IT 的 长 度 延 长 到 了 48 位 ， 这 显然 大 大 提 
升 了 攻击 者 通过 字典 攻击 解密 无 线 局 域 网 中 数据 的 难度 。 假 设 建立 24 位 TV 与 其 密码 流 
的 对 应 关系 需要 1 分钟 ,那么 建 六 48 位 TV 与 其 密码 流 的 对 应 关系 则 需要 16777216 分 钟 ， 
也 就 是 将 近 32 年 的 时 间 。 不 仅 如 此 ，WPA 也 不 会 像 WEP 那样 仅仅 将 IV 附带 在 预 共 享 密 
钥 后 面 就 直接 执行 RC4 计 算 , 它 会 首先 使 用 一 个 混合 函数 来 对 预 共 享 密 钥 和 IV 执 行 计算 ， 
然后 才 会 执行 RC4。 这 两 种 举措 让 WPA 与 WEP 相 比 ， 安 全 性 大 大 提升 。 

在 反 重 放 攻 击 方 面 ,WPA 在 消 恩 封装 中 引入 了 序列 号。 如 果 接 收 方 发 现 接收 到 的 WPA 
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帧 失 序 ， 接 收 方 就 会 立刻 丢弃 这 个 帧 ， 这 没有 给 重 放 攻击 留 下 多 少 施展 的 空间 。 

在 完整 性 方面 ，WPA 用 更 为 安全 的 消息 完整 性 校 验 CMIC) 取代 了 WEP 中 使 用 的 循环 
几 余 校 验 。 这 使 得 攻击 者 无 法 在 不 对 数据 进行 解密 的 前 提 下 ， 束 对 加 密 数 据 和 对 应 的 完 
整 性 校 验 值 进行 算 改 ， 同 时 让 接收 方 无 所 察觉 。 如 果 用 户 使 用 的 是 循环 见 余 校 验 ， 那 么 
攻击 者 就 可 以 实现 这 样 的 操作 。 

不 过 ，WPA 终究 只 是 IEEE 定义 的 一 种 临时 协议 。1 年 后 ，IEEE 完成 了 远 比 WPA 更 加 
完善 的 WPA2 标准 化 。WPA2 使 用 最 为 安全 的 AES 算法 来 对 数据 执行 加 密 ， 同 时 定义 了 执 
行 完整 性 校 验 的 CCMP 加 密 协 议 并 且 强 制 要求 通 信 方 采用 .和 CMP 来 完成 完整 性 校 验 。 最 初 ， 
很 多 无 线 网 络 适配器 并 不 支持 WPA2。 不 过 ， 从 2006 年 开始 ,Wi-Fi 联盟 已 经 要 求 所 有 使 
用 其 商标 的 产品 都 必须 通过 WPAs 提供 认证 。 可 以 肯定 的 是 ， 如 果 读 者 手中 支持 册 -PFi 
的 产品 出 广 时 间 在 10 年 之 内 ， 那 么 它 束 一 定 文 持 WPA2 协议 。 鉴 于 人 们 之 后 证 明 WPA 也 
存在 安全 隐患 , 我 们 推荐 读者 在 任何 对 于 安全 性 有 较 高 要 求 的 环境 中 , 使 用 WPA2 来 提供 
认证 服务 、 数 据 加 密 、 完 整 性 保障 和 反 重 放 攻 击 保护 。 


注 粒 : | 
CCMP 和 AES 的 操作 和 计算 流程 比较 复杂 , 这 些 内 容 超出 了 本 书 的 知识 范围 , 我 们 
在 这 里 不 进一步 介绍 。 : 


最 后 说 明 汪 点 ， 读 者 在 使 用 WPA 和 WPA2 作为 无 线 局 域 网 的 安全 保障 机 制 时 ， 会 发 
现 无 线 设备 提供 了 WPA/WPA2 企业 版 的 选项 。 企 业 版 WPAVWPA2 往往 不 再 通过 在 无 线 设备 
上 配置 预 共享 密 钥 的 方法 来 提供 安全 防护 ， 而 是 让 认证 方 通 过 外 部 AAA 服务 器 来 对 被 认 
证 方 提供 的 信息 进行 认证 。 当 然 ， 从 技术 角度 看 ， 使 用 本 地 认证 也 是 可 行 的 。 

在 10. 3 节 中 ， 我 们 探讨 了 无 线 局 域 网 中 的 安全 隐患 ， 以 及 三 代用 来 提供 无 线 局 域 
网 安全 防护 的 技术 。 在 对 无 线 局 域 网 的 相关 原理 进行 了 一 番 介 绍 之 后 ， 下 面 我 们 来 演示 
无 线 局 域 网 基本 的 配置 和 验证 流程 。 


10.4 无 线 LAN 的 配置 


在 10.4 节 中 , 我 们 会 介绍 使 用 华为 无 线 接 入 控制 器 (Access Controller, 人 简称 AC ) 
来 对 无 线 接 入 点 (Access Point， 人 简称 AP) 提供 控制 和 管理 的 企业 无 线 网 络 环境 ， 从 而 
使 企业 网 中 的 无 线 用 户 能 够 通过 AP 连接 到 企业 网 中 。 在 家 庭 环 境 中 , 我 们 一 般 直 接 登 录 
AP 并 进行 配置 即 可 《这 种 AP 也 就 是 前 文 提 到 的 胖 AP) ; 但 在 企业 环境 中 往往 需要 部 车 
多 台 AP， 让 管理 员 逐 台 AP 去 登录 并 进行 配置 是 不 现实 的 ， 所 以 一 般 都 会 增加 一 台 集 中 
控制 器 ， 称 为 AC。 管 理 员 通过 在 AC 上 完成 配置 并 下 发 给 AP (这 种 AP 是 瘦 AP〉 ， 使 得 
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整个 企业 级 无 线 局 域 网 的 部 署 和 运 维 更 加 高 效 。 在 10. 4 节 中 ， 我们 会 使 用 AC 结合 瘦 AP 
的 方式 展示 企业 环境 中 无 线 LAN 的 配置 , 首先 通过 图 10-12 所 示 拓 扑 了 解 通过 AC 来 统一 
管理 AP 的 环境 。 








企业 网 络 路 由 器 


GO/O/ 1 
VLAN 100 


图 10-12 无 线 LAN 配置 拓扑 


在 这 种 环境 中 ，AP 和 AC 之 间 需 要 采用 CAPWAP 协议 进行 通信 ，CAPWAP 协议 的 全 称 
是 无 线 接 入 点 的 控制 和 配置 (Control and Provisioning of Wireless Access Points) 
协议 。 具 体 来 说 ,AC 和 AP 之 间 会 通过 CAPWAP 协议 实现 状态 的 维护 工作 :AC 会 通过 CAPWAP 
协议 对 AP 进行 管理 ， 并 向 AP 下 发 业务 配置 信息 ; AP 会 通过 CAPWAP 协议 把 业务 数据 上 
传 到 AC。 

在 这 个 小 型 WLAN 环境 中 ， 我 们 需要 对 无 线 接 入 控制 器 AC 进行 配置 ， 配 置 的 具体 步 
骤 如 下 所 不 。 \ 

步骤 1 配置 AC 与 AP/ 企 业 网 络 路 由 器 之 间 的 通信 (本 例 使 用 二 层 通 信 ) 。 

步骤 2 把 AC 配置 为 DHCP 服务 器 ， 基 于 接口 IP 地 址 为 AP 和 STA 无 线 工 作 站 ) 

分 配 IP 地 址 。 

步骤 3 配置 AP 上 线 。 | 

(1) 创建 AP 组 。 通 过 把 需要 相同 配置 的 AP 添加 到 同一 个 AP 组 中 ， 来 实现 统一 管 
理 和 配置 。 

(2) 配置 AC 系统 参数 ， 其 中 包括 国家 码 (CN)%、AC 与 AP 之 间 用 来 通信 的 源 接口 
(VLANIF 100) 。 

(3) 配置 AP 上 线 的 认证 方式 并 寻 入 AP， 使 AP 正常 上 线 。 

步骤 4 配置 WLAN 业务 参数 。 

(1) 创建 SSID 模板 ， 并 设置 SSID。 

(2) 创建 安全 模板 ， 并 设置 安全 策略 。 

(3) 创建 VAP 模板 ， 并 配置 数据 转发 模式 、 业 务 VLAN、 应 用 SSID 模板 和 安全 
模板 。 

(4) 在 AP 组 中 应 用 VAP 模板 。 

在 按 步 骤 展 示 无 线 接 入 控制 器 (AC) 的 配置 前 ， 我 们 先 把 要 进行 配置 的 参数 进行 汇 
已 ， 详 见 表 10-4。 


= 二 


第 10 章 WLAN 技术 


z bb 10-4 需要 在 AC 上 进行 配置 的 参数 


名 称 : ap-group-guest 
AP 组 应 用 的 模板 : VAP 模板 vap-guest 
域 管理 模板 domain-guest 
名 称 : domain-guest 


域 管理 模板 
国家 码 : CN 
SSID 模板 | 名 称 : ssid-guest 
SSID 名 称 : guest 


名 匡 : sec-guest 
安全 模板 安全 策略 : WPA2+PSK+AES 
密码 ;huaweil123 


名 称 : vap—guest 
) 转发 模式 : 隧道 转发 
VAP 模板 业务 VLAN: VLAN 110 
应 用 的 模板 : SSID 模板 ssid-guest 
安全 模板 sec—guest 


表 10-4 中 各 个 模板 的 作用 我 们 会 在 接 下 来 具体 的 配置 中 进行 说 明 。 

步骤 1 配置 AC 与 AP/ 企 业 网 络 路 由 器 之 间 的 通信 (本 例 使 用 二 层 通 信 )。 

如 图 10-12 所 示 , 管理 员 要 把 AC 的 接口 60/0/1 加 入 VLAN 100, 这 个 VLAN 作为 WLAN 
的 管理 VLAN 连接 AP， 用 来 传输 AC 与 AP 之 间 的 CAPWAP 消息 ; 把 AC 的 G60/0/10 接口 加 
入 VLAN 110， 这 个 VLAN 作为 WLAN 的 业务 VLAN， 用 来 连接 企业 网 络 路 由 器 。 例 10-1 中 
展示 了 AC 上 与 此 相关 的 配置 命令 ; 

例 10-1 实现 AC 与 AP/ 企 业 网 关 路 由 器 之 间 的 通信 

[ACjvlan batch 100 110 

Info: This operation may take a few seconds. Please wait for a moment... done. 

[AC] interface gigabitethernet 0/0/1 

[AC-GigabitEthernet0/0/1jport link-type trunk 

[AC-GigabitEthernet0/0/1]port trunk pvid vlan 100 

[AC-GigabitEthernet0/0/1]port trunk allow-pass vlan 100 

[AC-GigabitEthernet0/0/1]quit 

[AC]interface gigabitethernet 0/0/10 

[AC-GigabitEthernet0/0/10]jport link-type trunk 

[AC-GigabitEthernet0/0/10]port trunk allow-pass vlan 110 

如 例 10-1 所 示 ， 管 理 员 在 AC 上 创建 了 两 个 VLAN: VLAN 100 和 VLAN 110。 在 这 个 
案例 中 ， 我 们 把 VLAN 100 作为 WLAN 的 管理 VLAN， 把 VLAN 110 作为 WLAN 的 业务 VLAN。 
因此 ， 连 接 AP 的 接口 60/0/1 的 PVID 被 设置 为 100， 并 放行 了 VLAN 100 的 流量 。 而 AC 
的 上 行 链 路 接口 60/0/10 上 放行 了 VLAN 110 的 流量 。 
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步骤 2 把 AC 配置 为 DHCP 服务 器 ， 基 于 接口 IP 地 址 为 AP 和 STA 分 配 IP 地 址 。 

AC 会 作为 DHCP 服 务 器 ,通过 VLANIF 100 接 口 为 AP 提供 TIP 地 址 (192. 168. 100. 0/24)， 
通过 VLANIF 110 接口 为 STA 提供 IP 地 址 (192. 168. 110. 0/24) 。 例 10-2 展示 了 AC 上 
的 DHCP 配置 命令 。 

例 10-2 让 AC 为 AP 和 STA 分 配 IP 地址 

[LACjdhcp enable 

Info: The operation may take a few seconds. Please wait for a moment. done. 

[AC]interface vlanif 100 ' 

[AC-Vlanif100]ip address 192. 168. 100.1 24 

[AC-Vlanifl00]dhep select interface 

[AC-Vlanif100]guit 

[AC]interface vlanif 110 

[AC-Vlanifll0]ip address 192. 168. 110. 1 24 

[AC-Vlanifll0jdhcp select interface 


管理 员 在 AC 上 通过 系统 视图 命令 dhcp enable 在 全 局 启用 了 DHCP 功能 ， 并 且 在 需 
要 提供 DHCP 服务 的 接口 上 ， 使 用 接口 视图 命令 dhcp select interface 让 AC 根据 接口 
IP 地 址 和 子 网 掩 人 码 来 提供 IP 地 址 信息 。 

步骤 3 配置 AP 上 线 。 

在 这 个 步骤 中 ， 管 理 员 要 在 AC 上 配置 与 AP 上 线 相 关 的 参数 ， 其 中 包括 As 还 
要 确认 AC 使 用 的 源 接 口 。 我 们 细 分 三 步 分 别 展示 每 - 步 的 配置 全 

1. 创建 AP 组 

在 这 一 步骤 中 ， 我 们 要 创建 AP 组 ， 这 样 就 可 以 把 所 有 配置 相同 的 AP 都 加 入 到 这 个 
组 中 ， 以 此 简化 配置 并 且 实 现 统 一 管理 和 配置 。 例 10-3 展示 了 创建 AP 组 的 配置 命令 。 

例 10-3 创建 AP 组 

[ACjwlan 
~ [AC-wlan-view]jap-group name ap-group-guest . 

[AC-wlan-ap-group-ap-group-guest | 

如 例 10-3 所 示 ， 管 理 员 先 使 用 系统 视图 命令 wlan 进入 了 WLAN 视图 。 由 于 所 有 与 
WLAN 特性 相关 的 配置 都 需要 在 WLAN 视图 中 完成 , 因此 管理 员 需 要 首先 通过 wlan 命令 进 
入 WLAN 视图 。 

管理 员 接 着 使 用 WLAN 视图 命令 ap-group name sroup-name， 创 建 了 名 为 ap-group- 
guest 的 AP 组 ， 同 时 进入 了 这 个 AP 组 的 配置 视图 。 在 10.4 节 的 实验 中 ， 管 理 员 要 在 这 
里 应 用 域 管理 模板 和 VAP 模板 ， 稍 后 创建 了 相应 的 模板 后 ， 我 们 会 再 进入 这 个 视图 。 

2. 配置 AC 系统 参数 和 源 接口 

在 这 一 步 中 ， 管 理 员 要 创建 域 管 理 模板 ， 并 在 域 管理 模板 下 设置 国家 码 (CN) ， 
例 10-4 展示 了 相关 配置 命令 。 
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例 10-4 配置 域 管理 模板 domain-guest 

[AC]wlan 

[AC-wlan-viewlregulatory-domain-—profile name domain-guest 

[AC-wlan-regulate-domain-deomain-guestlcountry~code cn 

管理 员 需 要 在 WLAN 视图 下 使 用 命令 regulatory-domain-profile name profile- 
name 来 创建 域 管理 模板 , 并 进入 该 模板 视图 。 在 域 管理 模板 中 , 管理 员 可 以 设置 国家 码 、 
优化 信道 和 带宽 等 参数 ， 例 10-4 中 展示 了 如 何 设置 国家 码 。 

管理 员 创建 并 配置 了 域 管理 模板 后 ， 还 要 在 AP 组 视图 中 应 用 这 个 域 管理 模板 ， 才 


能 使 之 生效 ， 例 10-5 展示 了 相关 配置 命令 。 2 
例 10-5 在 AP 组 中 应 用 域 管 理 模板 domain-guest 
[ACjwlan 二 


[AC-wlan-viewjap-group name ap-group-guest 

[AC-wlan-ap-group- ap-group-guest]jregulatory-domain-profile domain-guest 

Warning: Modifying the country code will clear channel, power and antenna gain 

configurations of the radio and reset the 学 Continue2[Y/N]:y 

[AC-wlan-ap-group— ap-group-guest] 

在 更 改 AP 组 中 应 用 的 域 管理 模板 时 ， 系 统 会 提示 例 10-5 所 示 的 警告 信息 并 要 求 管 
理 员 对 此 进行 确认 。 如 果 管 理 员 确认 更 改 的 话 ， 输 入 y 后 回 车 ， 更 改 就 生效 了 。 

接 下 来 管理 员 要 设置 AC 的 源 接口 ， 也 就 是 AC 与 AP 进行 CAPWAP 通信 所 使 用 的 源 接 
口 。 这 个 源 接口 可 以 是 环 回 接口 ， 也 可 以 是 VLANIF 接口 ， 我 们 使 用 VLANIEF 接口 作为 AC 
的 源 接口 ， 例 10-6 展示 了 相应 的 配置 命令 。 

例 10-6 设置 Ac 的 源 接口 

[AClcapwap source interface vlanif 100 

在 例 10-6 中 ， 管 理 员 在 capwap source 命令 中 指定 VLANIF 100 接口 作为 AC 的 源 
接口 ， 这 样 AC 就 会 使 用 VLANIF 100 接口 的 IP 地 址 作为 源 地 址 与 AP 进行 通信 。 除 此 之 
外 ， 管 理 员 还 可 以 在 capwap source 命令 中 指定 AC 使 用 的 源 IP 地址 ， 这 种 做 法 适用 于 
使 用 VRRP 进行 双 机 热 备 的 环境 ， 管 理 员 可 以 指定 VRRP 所 使 用 的 虚拟 IP 地 址 作为 AC 的 
源 IP 地 址 。 

3. 耳 入 AP 

在 10. 4 节 的 实验 中 ,管理 员 要 使 用 MAC 地 址 认证 的 方式 在 AC 上 添加 AP，AP 的 MAC 
地 址 是 00E0-FC9A-2D50， 例 10-7 展示 了 相应 的 配置 命令 。 

例 10-7 以 MAC 地 址 认证 的 方式 添加 AP 

[AClwlan 

[AC-wlan-view]jap-auth-mode mac-auth 

[AC-wlan-view]ap-id 0 ap-mac 00E0-FC9A-2D50 

[AC-wlan-ap-0]ap-name lobby 
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[AC-wlan-ap-0]ap-group ap-group-guest 
Warning: This operation may cause AP reset， If the country code changes， it will clear 
channel, power and antenna gain configurations of the radio, Whether to continue? [Y/N]:y 
[AC-wlan-ap-0] 
在 例 10-7 中 ， 管 理 员 首 先 使 用 命令 wlan 进入 了 WLAN 视图 。 在 WLAN 视图 中 ， 管 理 
员 配 置 了 以 下 命令 。 
e ap-auth-mode mac-auth: 例 10-7 中 管理 员 配 置 了 MAC 地 址 认证 方式 ， 这 也 是 - 
默认 情况 况 下 的 认证 方式 。 除 此 之 外 , 管理 员 还 可 以 配置 无 认证 方式 (no-auth) 
或 序列 号 认证 方式 (sn-auth) 。 
。 ap-id 0 mac 00E0-FC9A-2D50: 管理 员 可 以 使 用 这 条 命令 来 离线 添加 AP 设备 ， 
并 进入 AP 视图 。ap-id 的 取 值 范围 是 0 一 8191， 本 例 中 管理 员 以 AP ID 0 添加 
了 一 台 AP 设备 。 
在 AP 视图 中 ， 管 理 员 使 用 命令 ap-name ap-naiwe 为 这 个 AP 设置 了 名 称 ， 这 个 名 称 
的 长 度 范 围 是 1 一 31 个 字符 , 区 分 大 小 写 。 一 般 来 说 , 管理 员 可 以 根据 AP 所 在 的 位 置 为 
其 命名 ， 比 如 本 例 中 把 AP 命名 为 lobby (大 厅 ) 。 接 着 管理 员 使 用 命令 ap-group 
group-name 把 这 个 AP 加 入 到 之 前 创建 的 AP 组 ap-group-guest 中 。 管 理 员 可 以 把 多 个 
需要 使 用 相同 配置 的 AP 添加 到 同一 个 AP 组 中 ， 被 添加 到 同一 个 AP 组 的 AP 都 会 使 用 相 
同 的 配置 ， 从 而 免除 管理 员 对 每 个 单独 AP 进行 配置 的 重复 操作 。 如 果 管 理 员 没有 把 AP 
添加 到 茶 个 AP 组， 那么 AP 默认 属于 一 个 名 为 default 的 AP 组 。 
配置 好 后 , 现在 党 理 员 可 以 把 AP 加 电 局 动 , 局 动 后 管理 员 在 AC 上 使 用 命令 display ap 
all 得 看 了 当前 连接 在 AC 上 的 AP 状态 ， 例 10-8 展示 了 这 条 他 令 的 输出 内 容 。 
例 10-8 在 AC 上 查看 AP 状态 
[ACjdisplay ap all 
Total AP information: 
_nor : normal [1] > 


» 3 
-一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 -一 一 - 一- -一 一 ”一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


ID MAC Name Group IP Type State STA Uptime 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 天 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


0 00e0-fc9a-2d50 lobby a 人 group-guest 192. 168: 100. 1 AP6010DN-AGN nO -0S 


Total i 

从 例 10-8 中 的 阴影 行 我 们 可 以 看 出 ， 管 理 员 离线 添加 的 AP 已 经 连接 在 AC 
上 ， 当 它 的 状态 如 例 10-8 所 示 为 nor 时， 表示 AP 已 经 在 AC 上 成 功 上 线 ， 状 态 
正常 。 

步骤 4 配置 WLAN 业务 参数 ， 使 STA 能 够 连接 到 WLAN 中 。 

接 下 来 管理 员 需 要 在 AC 上 配置 与 WLAN 相关 的 业务 参数 ， 其 中 包括 SSID 模板 、 安 
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全 模板 和 VAP 模板， 下面 分 别 展示 每 一 步 的 配置 命令 

1. 配置 SSID 模板 

管理 员 在 AC 上 创建 名 为 ssid-guest 的 SSID 模板 ,并 在 其 中 把 SSID 配置 为 guest， 
详 见 例 10-9。 

例 10-9 配置 SSID 模板 

[ACjwlan 

[AC-wlan=viewjssid-profile name ssid-guest ， 


[AC-wlan-ssid-prof-ssid-guest]jssid guest 


在 例 10-9 中 ， 管 理 员 先 使 用 命令 Wan 进入 了 WLAN 视图 ， 接着 通过 ssid-profile 
name prof71e-name 创建 了 名 为 i guest 的 SSID 模板 ， 并 进入 了 这 个 SSID 模板 的 配 
置 视图 。SSID 模板 名 称 的 长 度 为 1 一 35 个 字符 ， 不 区 分 大 小 写 。 在 SSID 模板 中 ， 管 理 
员 还 可 以 配置 其 他 参数 ， 比 如 与 oS (服务 质量 ) 相关 的 参数 。 

2.， 配置 安全 模板 

接 下 来 管理 员 会 在 AC 上 创建 名 为 sec-guest 的 安全 模板 ,在 其 中 配置 WPA2+PSK+AES 
安全 策略 ， 并 设置 密码 为 huaweil23， 例 10-1 展示 了 相关 配置 命令 。 

例 10-10 配置 安全 模板 

[LACjwlan 

[AC-Wlan-view]security-profile name sec-guest 

[AC-wlan¥tsec-prof~sec-guest] security wpa2 psk pass-phrase huaweil23 aes. 

例 10-10 中 ， 管 理 员 在 AC 上 创建 了 名 为 sec-guest 的 安全 模板 ， 安 全 模板 的 名 称 
长 度 为 1 一 35 个 字符 ， 不 区 分 大 小 写 。 在 安全 模板 中 ， 管 理 员 可 以 指定 茶 种 认证 方式 ， 
来 对 STA 进行 认证 。 在 安全 模板 创建 后 ， 默 认 的 认证 方式 为 不 认证 且 不 加 密 。 

在 安全 模板 视图 中 ， 管 理 员 设置 了 WPA2+PSK+AES 安全 策略 ， 并 指定 密码 为 
huawei123。 这 条 命令 的 完整 句法 为 security {wpa | wpa2 | wpa-wpa2} psk {pass-phrase 
| hex} key-value {aes | tkip | aes-tkip} ， 本 例 中 管理 员 选 择 了 WPA2 作为 认证 方式 ， 
指定 密码 为 huawei123, 并 选 了 AES 作为 加 密 方 式 。 管理 员 可 以 配置 的 密码 长 度 为 8 一 63 
个 字符 ， 建 议 管 理 员 在 设置 密码 时 ， 使 用 大 小 写字 母 、 数 字 和 特殊 字符 相 结合 的 方式 ， 
创建 强健 的 密码 。 

3， 配 置 VAP 模板 . 

VAP 是 虚拟 AP 的 简称 , 管理 员 通 过 配置 多 个 VAP 模板 ， 并 把 这 些 VAP 模板 中 的 配置 
下 发 到 AP， 就 可 以 为 STA 接 入 用 户 提 供 具有 差异 化 的 WLAN 业务 。 例 如 ， 管 理 员 可 以 通 

一 个 物理 AP 设备 ， 同 时 为 企业 职员 和 企业 访客 提供 不 同 的 WLAN 服务 ， 以 此 对 接 入 企 
业 WLAN 的 用 户 提供 差异 化 管理 

10.4 节 的 实验 环境 中 只 配置 并 应 用 了 一 个 名 为 vap-guest 的 VAP 模板 , 在 其 中 指定 

数据 转发 模式 为 隧道 转发 ， 业 务 VLAN 为 YLAN 110， 并 应 用 了 之 前 创建 的 SSID 模板 和 安 
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全 模板 ， 例 10-11 展示 了 相关 配置 命令 。 

例 10-11 配置 VAP 模板 

[AClwlan 

[AC-wlan-viewjvap-profile name vap-guest 

[AC-wlan-vap-prof-vap-guest|forward-mode tunnel 

[AC-wlan-vap-prof-vap~guest|service-vlan vlan-id 110 

[AC-wlan-vap-prof-vap-guestjssid-profile ssid-guest 

[AC-wlan-vap=-prof-vap-guest]jsecurity-profile sec-guest 

在 例 10-11 中 ， 管 理 员 在 WLAN 视图 中 使 用 命令 vap-profile name profile-name, 
创建 了 名 为 vap-guest 的 VAP 模板 ， 并 进入 了 这 个 VAP 模板 的 配置 视图 。VAP 模板 的 名 
称 长 度 为 1 一 35 个 字符 ， 不 区 分 大 小 写 。 

在 VAP 模板 视图 中 ， 管 理 员 首先 通过 命令 forward-mode tunnel 把 转发 模式 设置 为 
隧道 转发 。 也 就 是 说 ， 当 AP 接收 到 用 户 发 来 的 数据 后 ， 会 把 这 些 数 据 通 过 CAPWAP 协议 
封装 后 发 送 给 AC， 并 由 AC 转发 到 企业 网 络 中 。 管 理 员 还 可 以 选择 直接 转发 
(direct-forward) 模式 ， 当 AP 接收 到 用 户 发 来 的 数据 后 ， 会 把 这 些 数据 直接 转发 到 人 在 
业 网 络 中 ， 而 不 会 经 由 AC 进行 转发 。 隧道 转发 有 利于 数据 的 集中 管理 和 控制 ,直接 转发 
能 够 提高 数据 转发 效率 并 减 小 AC 承受 的 业务 压力 。 

接着 管理 员 使 用 命令 service-vlan vlan-id 110 指定 WLAN 业务 VLAN 为 110， 使 用 
命令 ssid-profile ssid-guest 应 用 SSID 模板 ， 并 使 用 命令 security-profile sec- 
guest 应 用 安全 模板 。 

4. 在 AP 组 中 应 用 VAP 模板 

管理 员 现 在 需要 在 AP 组 中 应 用 配置 尹 的 VAP 模板 ， 例 10-12 展示 了 与 这 一 步 相 关 
的 配置 命令 。 

例 10-12 在 AP 组 中 应 用 VAP 模板 

[AC]wlan ; 

[AC=wlan-view]ap-group name ap-group-guest . 

[AC-wlan-~ap-group-ap-group-guest]vap-profile vap-guest wlan 1 radio 1 

在 例 10-12 中 , 管理 员 先 使 用 命令 wlan 进入 了 WLAM 视图 ,然后 使 用 命令 ap-group 
name ap-group-guest 进入 了 AP 弛 ap-group-guest 视图 。 在 AP 组 视图 中 ， 管 理 员 使 用 
vap-profile 命令 把 指定 的 VAP 模板 与 指定 射频 进行 绑 定 。 这 条 命令 的 完整 句法 为 
vap-profile profi/le-name wlan w/an-id lradio {radio-id | all} } ,参数 profiJle-name 
是 之 前 创建 的 VAP 模板 名 称 ; 参数 wlan-71d 是 指 AC 中 VAP 的 ID, 一 个 AC 中 最 多 可 以 创 
建 16 个 VAP，VAP ID 取 值 范 围 是 1 一 16， 本 例 使 用 了 ID 1; 参数 radio-id 是 射频 ID， 
10. 4 节 使 用 的 APCAP6010DN-AGN ) 支 持 两 个 射频 : 射频 0 和 射频 1, 其 中 射频 0 为 2. 4 GHz 
射频 , 射频 1 为 5 GHz 射频 , 本 例 中 管理 员 为 射频 1(5 GHz ) 应 用 了 VAP 模板 vap-guest。 
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例 10-13 中 管理 员 使 用 命令 display vap ssid ssid-guest 验证 了 已 创建 的 VAP。 
例 10-13 验证 创建 的 VAP 

[ACldisplay vap ssid ssid-guest 

WID : WLAN ID 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


AP ID AP name RfID WID BSSID Status Auth type STA SSID 





一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 


tbby 下 








Teotal: 1 > 

WLAN 业务 配置 会 由 AC 目 动 下 发 给 AP， 管理 员 通 过 例 10-13 所 示 命 令 能 够 查看 AP 
支持 的 射频 上 是 否 已 成 功 创建 VAP。AP name 项 目 显示 的 是 管理 员 配 置 的 AP 名 称 (lobby)， 
RfID 项 目 表 示 的 是 射频 ID (1) ， 当 Status 项 目 显示 为 ON 时 (如 例 10-13 所 示 ) ， 表 
示 AP lobby 的 射频 ID 1 上 已 经 成 功 创建 了 VAP。 

接着 管理 员 把 10. 4 节 实 验 中 使 用 的 STA( 无 线 工 作 站 ) 启动 ， 并 连接 到 WLAN 网 络 
中 。STA 能 够 搜索 到 名 为 ssid-guest 的 WLAN 网络 ， 输入 密码 huaweil123 后 ，STA 能 够 正 
常 连接 到 WLAN 网 络 中 并 获得 正确 的 IP 地址 。 管 理 员 通过 例 10-14 所 示 命 令 可 以 查看 已 
连接 的 STA 信息 。 

例 10-14 查看 已 连接 的 STA 

[Ac]displhy station ssid ssid-guest 


Rf/WLAN: Radio ID/WLAN ID 


Rx/Tx: link receive rate/link transmit rate (Mbps) 











一 一 一 
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STA MAC AP ID Ap name Rf/WLAN Band Type Rx/Tx RSSI VLAN IP address 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 





一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 一 一 


5489-9892-4226 0 lobby 1/1 5G ~ lln 46/59 -68 110 192. 168. 110. 254 





一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 -一 一 





Total: 1 2..4(: 0 S(» 1 

从 例 10-14 所 示 命 令 中 我 们 可 以 看 出 , MAC 地 址 为 5489-9892-4226 的 STA 已 经 连接 
到 SSID 为 ssid-guest 的 无 线 网 络 中 ,获得 的 IP 地 址 为 192. 168. 110. 254。 到 此 为 I 上 STA 
己 经 能 够 正确 连接 到 WLAN 网 络 中 ， 并 获得 了 业务 VLAN 中 相应 的 IP 地 址 。 


10.5 ”本 童 总 结 


在 无 线 网 络 应 用 越 来 越 普 过 的 今天 ， 网 络 管理 员 《〈 甚 至 非 专 业 人 士 ) 难免 会 遇 到 与 
搭建 无 线 网 络 相关 的 任务 。 通 过 第 10 章 介绍 的 无 线 理 论 知 识 和 配置 演示 , 读者 应 该 可 以 
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在 面 对 无 线 部 署 时 更 加 自信 。 

第 10 章 分 为 四 个 部 分 ， 第 一 部 分 〈10. 1 无 线 概 念 ) 介绍 了 与 无 线 信号 传输 载体 相 
关 的 内 容 。 人 们 按照 电磁 波 的 频率 特性 , 利用 某 几 个 频段 的 电磁 波 实 现 无 线 信号 的 传输 。 
在 这 一 部 分 我 们 着 重 解释 了 几 个 概念 ， 其 中 包括 无 线 射频 〈10. 1. 1 无 线 射 频 ) 、 无 线 电 
频段 和 每 个 频段 中 的 信道 (10. 1. 2 频段 与 信道 ) ， 以 及 负责 电磁 波 分 配 和 使 用 的 标准 化 
组 织 (10. 1. 3 标准 化 组 织 介绍 ) 。 

第 10 章 第 二 部 分 (10.2 无 线 LAN 运行 ) 介绍 了 无 线 传输 的 帧 标准 ， 以 及 在 无 线 环 
境 中 传输 帧 的 工作 原理 。 在 这 一 部 分 中 , 读者 可 以 把 802. 11 帧 与 802. 3 数据 帧 进行 对 比 。 
第 三 部 分 (10. 3 无 线 LAN 的 安全 性 ) 介绍 了 如 何在 开放 性 的 无 线 传 输 环境 中 确保 人 们 传 
输 信 息 的 安全 性 ， 以 及 确保 无 线 网 络 的 安全 性 。 并 解释 了 WEP 的 加 密 方式 以 及 被 破解 的 
过 程 。 第 10 章 最 后 〈10. 4 无 线 LAN 的 配置 ) 以 华为 设备 为 例 ， 展 示 了 部 署 无 线 网 络 的 
方法 。 


10.6 练习 题 ， 


一 、 选 择 题 

， 以 下 有 关 电 磁 波 的 说 法 中 ， 错 误 的 是 2 (  ) 

.电磁 波 可 以 在 水 中 传播 ， 但 无 法 在 真空 中 传播 

.人 们 根据 电磁 波 频 率 特性 的 不 同 ， 利 用 电磁 波 实 现 了 不 同 功能 

可 见 光 是 一 种 电磁 波 

无 线 电 波 是 一 种 电磁 波 

以 下 有 关 2.4 GHz 和 5 GHz ISM 频段 的 说 法 中 ， 错 误 的 是 ? ( ) 
2.4 GHz 和 5 GHz 是 最 常用 于 无 线 通 信和 有 的 ISM 频段 

.2.4 GHz 的 频段 范围 是 2400 MHz~2500 MHz， 有 最 多 4 个 非 重 盖 信 道 
5 GHz 的 频段 范围 是 5725 MHz 一 5875 MHz， 有 最 多 23 个 非 重 登 信道 
与 5 GHz 频段 相 比 ，2. 4 GHz 频段 受到 的 干扰 较 小 ， 但 信号 传输 范围 较 近 
.以 下 哪个 标准 化 组 织 负责 管理 并 分 配 无 线 频 段 ? ( ) 

IEEE B. ITU-R 四 D. ITU-D 
.以 下 使 用 2. 4 GHz 频段 的 无 线 标准 有 了 哪些? (多 选 )( ) 

. IEEE 802. 11a B. IEEE 802.11b 

. IEEE 802.11g D., IEEE 802.11n 

.无 线 客户 端 如 何 能 够 发 现 附近 的 无 线 AP? (多 选 )( ) 

. 通过 接收 AP 周期 性 发 送 的 信 标 帧 
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.通过 搜索 AP 的 IP 地 址 进行 发 现 
.通过 搜索 AP 的 MAC 地 址 进行 发 现 
. 通过 搜索 AP 的 SSID 进行 发 现 
. 无线 网 络 通过 哪 种 机 制 来 避免 信号 冲突 的 发 生 ? (  ) 
. CSMA/CA B. CSMA/CD 
. 单 双 工 模式 D. 使 用 非 重 莅 信道 
.WPA 机 制 为 无 线 网 络 提 供 了 以 下 哪些 保障 ? (多 选 )(  ) 
机 密 性 B. 可 靠 性 Cc. 完整 t D. 反 重 放 
、 判 断 题 
. 无线电 波 的 频率 与 波长 成 反比 ， 理 论 上 波长 X 频 率 = 速 度 。 
. WPA 已 经 无 法 满足 当前 无 线 局 域 网 的 安全 需求 ， 管 理 员 需 要 使 用 WEP。 
. 工作 在 5 GHz 频率 上 的 无 线 设备 会 受到 微波 炉 的 干扰 。 
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.1 SNMP 协 议 

.2 ”NTP 协议 

.3 ”eSight 的 基础 知识 
.4 ”本 章 总 结 

.5 练习 题 





本 章 是 华为 ICT 学 院 路 由 交换 技术 系列 教材 的 最 后 一 章 。 在 前 面 的 章节 中 ， 我 们 司 
读者 演示 了 配置 网 络 设备 的 方法 。 通 过 本 系列 教材 的 配套 实验 手册 ， 读 者 也 应 该 对 通过 
VRP 系统 管理 华为 网 络 设备 多 多 少 少 有 了 一 些 心得 。 如 果 只 看 这 一 章 的 标题 而 忽略 各 节 
We 章 理 的 一 般 方 法 ， 
并 且 针 对 网 络 管理 提出 一 些 可 行 性 建议 。 

这 种 看 法 既 对 也 不 对 。 在 之 前 的 章节 中 ， 我 们 的 确 演示 了 很 多 通过 管理 网 络 设备 来 
实现 某 些 具体 需求 的 方法 。 在 这 一 章 中 ， 我 们 也 确实 希望 向 读者 提供 一 些 管理 网 络 的 一 
般 方 法 。 但 我 们 在 这 一 革 中 并 不 是 要 疝 读者 提出 关于 操作 规程 或 者 规章 制度 方面 的 建议 ， 
而 是 要 问 读 者 介绍 用 于 实现 网 络 管理 的 技术 与 应 用 ， 因 为 任何 稍 具 规模 的 网 络 都 不 会 采 
用 项 目 建设 阶段 的 方法 管理 网 络 设备 。 

11. 1 市 会 首先 解答 读者 产生 的 疑问 : 为 什么 我 们 可 以 使 用 一 台 设 备 、 一 台 设 备 地 连 
接 VRP 系统 的 方法 来 实施 网 络 项 目 ， 但 却 不 能 用 相同 的 廊 法 对 网 络 进行 运 维 管理 。 在 对 
此 进行 解释 之 后 ， A ee a SNMP 协议 进行 介绍 , 包括 介绍 这 
种 协议 的 工作 方式 、 定义 的 涡 昌 头 型， 以 及 不 同 版 本 SNMP 协议 的 区 别 。 接 下 来 ， 我 们 
itr, rug 

11.2 市 的 核心 内 容 是 男 一 项 在 网 络 运 维 管理 中 必 
CNTP) 。11. 2 节 会 首先 介绍 时 间 准 确 性 对 于 网 络 运 维 的 重要 意义 ; 接 下 来 ， 对 NTP 协议 
的 原理 进行 说 明 ， 并 且 演 示 NTP 的 配置 。 

11.3 节 介 绍 的 是 华为 公司 推出 的 一 种 图 形 化 网 络 管理 平台 。11. 3 节 会 通过 网 络 运 
维 工 作 中 人 们 有 可 能 面临 的 实际 问题 , 解释 使 用 eSight 网 络 管理 平台 会 给 管理 网 络 带 来 
哪些 便利 。 


% /> ‘| i 











一 372 一 


PT 
条 » 


了 e。 了 解 借 助 SNMP 协议 统一 管理 网 络 的 必要 性 ; 
> 了 解 SNMP 协议 的 原理 ; 

3 。 理解 各 版 本 SNMP 协议 的 异同 ; 

，。 掌握 SNMP 协议 的 配置 方法 ; 

。 了解 网 络 时 间 准 确 性 对 管理 网 络 的 意义 ; 

e 了 解 NTP 协议 的 原理 ; 


e 掌握 NTP 协议 的 配置 方法 ; 和 
: : : 。 理解 e-Sight 给 管理 网 络 带 来 的 便利 性 。 : 
be ooo er i 


11.1 SNMP 协议 


随 着 医学 科学 和 医学 技术 的 发 展 ， 人 类 已 经 可 以 通过 大 量化 验 、 成 像 、 内 帘 镜 技 术 
精确 定位 到 各 类 疾患 发 生 的 器 官 。 既 然 如 此 ， 为 什么 仍然 有 很 多 人 都 是 在 疾病 进入 到 相 
对 严重 的 阶段 才 被 发 现 患 病 呢 ? 

一 方面 ,这 是 因为 人 体 是 一 个 极为 复杂 的 系统 , 每 种 器 官 都 有 自己 的 功能 和 医学 指标 ， 
大 多 数 医学 检验 技术 都 只 能 对 人 体 的 某 一 个 特定 部 位 的 某 一 项 或 某 几 项 特定 指标 进行 检 
查 ; 另 一 方面 ， 只 有 患者 在 检查 时 已 经 患 病 ， 这 些 检 验 才能 反馈 出 可 用 于 诊断 该 疾病 的 结 
果 , 但 患者 并 不 是 每 时 每 刻 都 在 接受 健康 检查 ， 因 此 很 多 患 病 初期 没有 不 适 症状 的 疾病 也 
就 很 容易 错过 诊断 的 最 佳 时 期 。 所 以 ， 如 果 有 一 种 通用 的 医学 检验 方式 能 够 每 时 每 刻 检测 
到 人 们 所 有 部 位 的 所 有 指标 ， 并且 把 指标 反馈 到 社区 医院 医师 的 计算 机 上 ， 人 们 就 不 会 错 
过 疾病 的 最 理想 治疗 时 期 , 人 类 的 健康 水 平和 预期 寿命 也 可 以 得 到 进一步 的 提升 。 这 说 明 ， 
对 于 一 个 复杂 的 系统 ， 头 痛 “ 验 ” 头 ， 脚 痛 “ 验 ” 脚 的 检验 技术 是 存在 局 限 的 。 

网 络 也 是 一 个 相当 复杂 的 系统 ， 它 也 需要 一 种 即时 的 、 宏 观 的 管理 方式 ， 而 这 种 管 
理 方式 已 经 通过 11. 1 节 要 介绍 的 协议 一 一 SNMP 提供 的 服务 得 到 了 实现 。SNMP 由 很 多 组 
件 构成 ， 它 是 一 个 相对 复杂 的 协议 。11..1 节 会 对 这 种 协议 的 工作 原理 进行 简单 的 说 明 。 


_11.1.1 SNMP 协议 概述 


我 们 在 本 系列 教材 中 介绍 过 的 网 络 设备 管理 手段 无 外 乎 两 种 : 一 种 是 连接 网 络 设 备 
的 (Console、MiniUSB 等 ) 专用 管理 接口 ， 倍 助 虚拟 终 疹 软 件 来 对 设备 实施 管理 ; 另 一 
种 是 使 用 传输 数据 的 接口 来 向 网 络 设备 发 起 Telnet/SSH 远程 管理 访问 。 上 述 两 种 管理 方 
式 都 需要 管理 员 逐 台 设 备 地 建立 连接 、 逐 台 设 备 地 执行 管理 。 在 新 建 或 变更 网 络 项 目 时 ， 
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这 种 管理 方式 并 无 不 妥 ， 因 为 此 时 技术 人 员 对 各 个 网 络 设备 所 作 的 操作 都 是 主动 的 ， 操 
作 的 目的 性 都 相当 明确 。 然 而 ， 这 种 方式 并 不 适合 作为 管理 员 日 常 管理 和 维护 整个 网 络 
的 操作 手段 ， 其 中 一 项 重要 的 原因 就 是 技术 人 员 无 法 预知 网 络 故 障 和 网 络 攻 击 会 发 生 在 
哪 台 设备 的 哪个 组 件 上 ， 这 和 我 们 在 11. 1 节 引 入 部 分 提 到 的 疾病 诊断 颇 有 类 似 之 处 。 

比如 ， 一 个 网 络 在 茶 些 关键 节点 部 团 了 元 余 设 备 0 和 链 路 ) 和 相应 的 高 可 用 性 技术 ， 
布 望 网 络 能 够 为 用 户 提供 7X24 小 时 无 中 断 的 通信 服务 。 然 而 ， 主 用 设备 宕 机 ， 转 发 设 
备 由 主 用 设备 (和 链 路 ) 平滑 切换 到 备用 设备 (和 链 路 ) 的 过 程 没 有 被 任何 用 户 注意 到 ， 
管理 员 也 不 知道 网 络 已 经 出 现 了 故障 ， 他 当然 不 会 登录 到 已 经 宕 机 的 主 用 设备 上 ， 并 查 
看 有 可 能 导致 停工 的 故障 ， 也 更 不 可 能 对 这 人 台 设 备 进行 相应 的 修复 或 替换 。 于 是 ， 管 理 
员 第 一 次 发 现 主 用 设备 已 经 故障 ， 是 在 愤怒 的 用 户 因 《备用 设备 宕 机 而 导致 的 ) 网 络 通 
信 中 断 而 问 目 己 进 行 投 诉 的 时 候 。 换 名 话说 ， 元 余 设 备 无 法 发 挥 提高 网 络 可 用 性 的 最 佳 
效 末 。 

上 例 说 明 ， 在 网 络 这 样 一 个 包含 大 量 元 素 的 复杂 系统 中 ， 逐 台 设 备 发 起 管理 访问 的 
操作 方式 往往 会 显得 捉襟见肘 。 哪 怕 只 是 网 络 中 出 现 了 一 些 常 见 错 误 ， 只 要 这 个 网 络 足 
够 大 ， 使 用 我 们 在 前 面 介绍 的 这 种 设备 管理 方式 进行 排 错 都 无 异 于 盲人 摸 象 。 所 以 ， 管 
理 网 络 需要 一 种 比 逐 一 管理 网 络 设备 更 加 宏观 的 管理 手段 。 

对 于 这 关 复 杂 系 统 ， 最 理想 的 管理 方式 就 是 管理 员 能 够 通过 一 个 操作 界面 即时 获取 
到 所 有 被 管理 设备 的 工作 状态 ， 并 且 能 够 通过 这 个 界面 对 所 有 被 管理 设备 进行 配置 。 简 
单 网 络 管理 协议 (Simple Network Management Protocol1，SNMP) 定义 了 管理 端 与 网 络 
设备 执行 管理 通信 的 标准 。 | 

在 SNMP 的 框架 中 ， 网 络 管理 员 用 来 管理 网 络 设备 的 计算 机 称 为 网 络 管理 系统 
(Network Management System，NMS) ， 而 被 管理 设备 上 啊 应 和 处 理 SNMP 操作 的 进程 称 
为 SNMP 代理 〈agent) 。SNMP 定义 了 一 种 简单 的 请 求 /响应 模型 。 在 这 个 模型 中 ，SNMP 
定义 了 一 系列 操作 ， 不 同 的 操作 分 别 由 NMS 和 SNMP 代理 发 送 不 同类 型 的 协议 数据 单元 


(Protocol Data Unit，PDU) 来 执行 。 


注 泛 : 
PDU 是 各 层 封 装 后 的 数据 齐 位 , 例如 网 络 层 的 PDU 是 数据 包 。 在 实际 工作 交流 中 ， 
人 们 党 以 消息 (message ) 作为 PDU 的 替代 表达 。 


比如 ，NMS 可 以 执行 GET 操作 ， 即 NMS 通过 GET 请 求 (GET Request ) 消息 ， 要 求 代 
理 将 某 种 状态 发 送 给 自己 。SNMP 代理 在 接收 到 GET 请 求 PDU 之 后 , 会 发 送 啊 应 PDU。NMS 
在 接收 到 SNMP 代理 反馈 的 响应 (Response) 消息 PDU 后 ， 将 SNMP 代理 响应 的 结果 显示 
给 管理 员 ， 如 图 11-1 所 示 。 

此 外 ，NMS 也 可 以 执行 SET 操作 ， 将 管理 员 所 作 的 配置 以 SET 请 求 (SET Request ) 
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PDU 的 形式 发 送 给 代理 ， 代 理 执 行 后 将 啊 应 PDU 发 回 给 NMS， 如 图 11-2 所 示 。 














响应: 
和 






求 | 
把 你 的 CPU 使 用 率 发 给 我 


EY a 


i SS GET 请 求 : | 一 一 一 一 -一 SNMP 请 求 
i [ss | 你 的 CPU 使 用 率 发 给 我 


pa 


“hr Do 一 SNMP 呈 应 





A]\ 


图 11-1 SNMP GET 操作 原理 示意 





| 响应: 
刚才 的 设置 成 功 一 


i 






SET 请 求 : 
把 编号 12 的 ACL 应 用 到 你 
的 G0/0/1 接 口上 


| 


. mA 
~ ~ 





-一 一 一 = SNMP 请 求 


一 SNMPWWY 


图 11-2 SNMP SET 操作 原理 示意 
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不 过 ， 代 理 也 并 不 是 只 能 被 动 地 对 请 求 作出 啊 应 。 在 代理 达到 了 管理 员 指 定 的 告警 
触发 条 件 时 ， 它 们 会 主动 执行 Trap 操作 ， 也 就 是 不 经 请 求 直 接 向 NMS 发 送 Trap PDU， 
告知 管理 员 目 己 出 现 了 异常 情况 ， 如 图 11-3 所 示 。 













Trap: 
与 另 一 台 路 由 器 
相连 的 接口 DOWN 





和 
rap : 
一 条 上 行 链 路 的 
带宽 占用 率 达 到 
| 你 设置 的 值 了 


. 
Te 


图 11-3 ” SNMP Trap 操作 原理 示意 


Trap PDU 也 可 以 由 一 台 NMS 发 送 给 另 一 台 NMS， 向 其 通告 网 络 中 的 异常 状态 。 


SNMP 是 一 种 使 用 UDP 作为 传输 层 协 议 的 应 用 层 协议 。 在 进行 通信 时 ，NMS 会 使 用 随 
机 端口 作为 源 端 口 ,将 SNMP 请 求 PDU 发 送 给 被 管理 设备 的 161 端口 ,代理 在 执行 响应 时 ， 
则 会 将 响应 PDU 发 送 给 NMS 封装 请 求 PDU 时 使 用 的 那个 随机 的 源 端 口 。 不 过 ， 当 代理 发 
送 (未 经 请 求 的 ) Trap PDU 时 会 将 Trap PDU 发 送 给 NMS 的 162 端口 。 


注 料 : 

从 理论 上 讲 ，SNMP 并 不 排斥 使 用 TCP 作为 传输 层 协议 。 但 考虑 到 SNMP 轻 量 级 
协议 的 初衷 ， 用 TCP 传输 SNMP 消息 的 做 法 基本 没有 得 到 采用 。 布 伦 瑞 克 工业 大 学 的 
Juergen Schoenwaelder 博士 曾经 对 SNMP 以 TCP 作为 传输 层 协议 的 做 法 进行 了 (实验 性 
的 ) 定义 和 描述 ， 感 兴趣 的 读者 可 以 浏览 RFC 3430 来 了 解 相 关内 容 。 
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通过 上 面 介 绍 的 几 项 操作 ，SNMP 实现 了 我 们 在 前 文 介绍 的 (通过 Set 来 实现 ) 统一 
监控 、 (通过 Get 来 实现 ) 统一 管理 、( 通 过 Trap 来 实现 ) 即时 啊 应 。 当 然 ， 除 了 这 几 
种 操作 之 外 ，SNMP 还 定义 了 其 他 一 些 操作 。 关 于 SNMP 的 其 他 操作 /PDU 类 型 ， 我 们 会 在 
11.1.2 刷 中 进行 总 结 。 这 里 有 一 个 遗留 的 问题 : 网 络 设备 拥 有 大 量 参数 ， 代 理 如 何 判断 
NMS 要 查询 或 者 设置 自己 的 哪 一 项 参数 ? 

在 SNMP 定义 的 框架 中 , SNMP 定义 了 一 个 管理 信息 数据 库 (Management Information 
Base，MIB) ， 每 个 管理 对 象 〈Management 0bject) 的 名 称 、 当 前 的 状态 、 可 以 访问 的 
权限 都 你 存在 这 个 数据 库 中 。 针 对 MIB 中 的 每 个 可 管理 对 月，SNMP 都 定义 了 它 在 这 个 数 
据 库 中 的 “地 址 ”， 这 个 地 址 称 为 对 象 标识 待 (0bject Identifier，0ID) 。 使 用 SNMP 
通信 的 双方 会 通过 0ID 来 指定 这 个 PDU 涉及 的 管理 对 象 。 所 以 ， 当 被 管理 设备 接收 到 一 
条 SNMP 请 求 PDU 时 ， 它 会 (通过 查询 这 个 消息 的 UDP 端口 号 ) 将 这 个 数据 自 底 回 上 执行 
处 理 , 并 最 终 提交 给 SNMP 代理 进程 。 代理 进程 会 按照 PDU 中 封装 的 0ID 查询 自己 的 MIB， 
找到 这 条 PDU 的 管理 对 象 ， 并 且 执 行 请 求 押 对 应 的 处 理 操 作 ， 如 图 11-4 所 示 。 


| MIB J a FTP 服 务 器 进 各 iE ET 
| 管理 对 象 | ”OID:， ”| 状态 | 参数 i 


ysem | 1361211 | (路) | (路) | 应 用 层 














| 
at | 136.1213 | ( 略 ) | ( 略 ) | SNMP| ' DHCP pHcp | Fr | arm 人 
| 
传输 层 _ 
TCP || RSVP || oe 
PDU 


图 11-4 ”被 管理 设备 接收 到 SNMP 请 求 PDU 的 处 理 流程 示意 


MIB 是 一 个 比较 复杂 的 话题 ,我 们 在 这 里 不 进行 过 多 介绍 ,读者 只 需要 了 解 SNMP 中 
存在 这 样 一 个 概念 即 可 。 在 11. 1. 3 节 中 , 我 们 会 结合 配置 命令 再 对 MIB 和 0ID 进行 进 一 
步 说 明 。 

SNMP 从 最 初 定义 发 展 到 今天 ， 经 历 了 很 多 版 本 ,不同 版 本 提供 的 服务 、 定 义 的 
操作 甚至 数据 包 封 装 方式 都 有 可 能 存在 区 别 。 在 11. 1.2 节 中 , 我 们 会 对 SNMP 的 版 本 
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进行 对 比 。 
11.1.2 SNMP 版 本 对 比 


11.1.2 节 刻 意 采 用 了 文字 描述 的 方式 进行 写作 。 众 所 周知 ， 最 适合 进行 对 比 的 信息 
展示 方式 是 表格 。 因 此 ， 我 们 推荐 读者 在 完成 11.1.2 节 的 阅读 之 后 ， 能 够 将 本 节 的 内 容 
总 结 为 一 个 简单 的 表格 。 表 格 第 1 行 应 该 包含 所 有 我 们 在 11.1.2 节 中 介绍 过 的 SNMP 版 
本 (其 中 SNMPv2 和 SNMPv2u 为 可 选 ) ， 而 表格 的 第 1 列 应 该 包括 支持 的 认证 方式 、 
是 否 支持 加 密 、PDU 类 型 (本章 中 提 到 过 的 ) 。 


SNMP 最 初 源 于 一 种 叫 作 简单 网 关 监 测 协 议 (Simple Gateway Monitoring Protocol， 
SGMP) 的 协议 ， 这 个 协议 提供 的 服务 是 监控 和 管理 路 由 器 的 接口 状态 、 路 由 协议 等 。 融 
在 SGMP 标准 化 的 8 个 月 之 后 ， 同 一 个 团队 (J. Case、M. Fedor、M. Schoffstall 与 
Davin) 将 最 初 的 SNMP 进行 了 标准 化 ， 定 义 在 了 RFC 1067 中 (1988 年 8 月 ) 。 

学 习 了 11. 1. 1 节 的 读者 也 许 会 意识 到 ，SNMP 是 一 类 比较 危险 的 协议 ， 因 为 它 定义 
了 一 台 设 备 〈 即 NMS) 获取 甚至 修改 网 络 设备 状态 和 参数 的 标准 。 从 这 个 协议 提供 的 服 
务 上 看 ， 此 协议 还 需要 提供 安全 机 制 来 确保 未 经 授权 的 人 不 能 通过 自己 的 客户 端 来 监控 
网 络 设备 。 然 而 , 最 初版 本 的 SNMP( 就 像 很 多 互联 网 商业 化 和 普及 之 前 定义 的 标准 一 样 )， 
没有 对 网 络 的 风险 给 予 足够 重视 。 在 这 一 版 的 SNMP 中 , 唯一 的 安全 机 制 是 被 管理 设备 可 
以 通过 NMS 用 明文 发 送 过 来 的 团体 字符 串 (Community) 来 认证 这 台 NMS 是 否 具 有 的 权限 。 

按照 当今 的 标准 ， 这 种 明文 认证 的 方 未 基本 是 形同虚设 ， 几乎 无 法 为 网 络 设 备 和 网 
络 通信 的 安全 性 提供 任何 保障 。 然 而 ,随后 定义 出 来 的 SNMPv2 却 矫 枉 过 正 。 这 一 版 本 的 
SNMPv2 使 用 了 群 (Party) 的 概念 来 限制 管理 员 针 对 不 同 SNMPv2 管理 对 象 可 以 执行 的 管 
理 操作 。 认证 算法 和 加 密 算法 则 与 各 个 群 进行 关联 来 保 执 管 理 流量 的 安全 性 。 由 于 这 种 
基于 群 的 SNMPv2 (Party-Based SNMP version 2) 过 于 复杂 ， 很 少 有 厂商 的 设备 对 这 种 
协议 提供 支持 。 这 时 ， 反 而 是 回归 了 团体 字符 串 实现 的 SNMPv2 (Community-Based SNMP 
version 2， 简 称 SNMPv2c ) 生生 二 站 区 | 而 的 | 党 广 震 成 为 了 真正 得 到 大 范围 应 用 
的 SNMPv2 版 本 。 

当然 ，SNMPv2c 虽然 在 认证 方式 上 回归 SNMPv1 的 团体 学 符 串 认证 ， 而 且 对 于 数据 
包 封 装 字段 的 定义 也 与 SNMPv1 并 无 区 别 , 但 SNMPv2c 定义 了 几 种 新 的 PDU 类 型 。 除了 我 
们 在 11. 1. 1 节 中 介绍 的 GetRequest、SetRequest、Response、Trap 这 4 类 PDU 之 外 ， 
SNMPv1 还 定义 了 一 种 GetNext 操作 。NMS 可 以 发 送 一 条 GetNext 请 求 PDU， 请 求 SNMP 
代理 将 MIB 中 ，PDU 所 携 管理 对 象 〈 按 照 字母 顺序 排序 ) 的 下 一 个 管理 对 象 的 状态 和 参 
数 发 送 给 自己 。 
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SNMPv2 在 SNMPv1 的 基础 上 又 定义 了 GetBulk 操作 。 这 项 操作 让 NMS 可 以 通过 一 个 
GetBulk 请 求 PDU (一 次 性 地 )〉 向 SNMP 代理 请 求 大 量 管理 对 象 的 状态 和 参数 。 而 在 原本 
的 SNMPv1 中 , 如果 NMS 需要 获取 大 量 字 母 顺序 连续 的 管理 对 象 的 状态 和 参数 , 则 需要 在 
一 个 Get 请 求 PDU 之 后 ， 反 复发 送 很 多 条 GetNext 请 求 。 所 以 ，GetBulkRequest 是 在 操 
作 方 式 上 对 GetNext 的 优化 。 

此 外 ，SNMPv2 还 定义 了 一 个 Inform 操作 。 由 于 SNMP 基本 都 是 使 用 UDP 作为 传输 协 
议 的 , 对 方 是 否 接 收 到 SNMP 消息 并 没有 通信 机 制 上 的 保障 。 在 SNMP 定义 的 PDU 类 型 中 ， 
Get (包括 GetNext 和 GetBulk) 请 求 PDU、Set 请 求 PDU. 和 响应 PDU 都 是 NMS 发 起 的 操 
作 和 对 NMS 操作 的 响应 ， 接 收 方 是 否 接 收 到 了 该 消息 十 分 直观 。 但 是 ，Trap PDU 是 未 经 
请 求 主动 发 送 的 消息 ， 如 果 接 收 有 没有 接收 到 Trap PDU，Trap PDU 势必 会 石沉大海 。 为 
了 确认 对 方 接收 到 了 Trap PDU， SNMPv2 定义 了 Inform 请 求 PDU。Inform 请 求 PDU 可 以 
与 Trap PDU 一 起 发 送 给 NMS (162 端口 ) ，NMS 在 接收 到 这 个 PDU 后 会 通过 响应 PDU 确 
认 自己 接收 到 了 之 前 的 Trap PDU， 如 图 11-5 所 示 。 


Inform 请 求 : i | | = 
ee 
A 人 


Trap: ~ : > TS 
与 另 一 台 路 由 器 四 | 
入 连 的 接口 DOWN ， 



















图 11-5 SNMP Inform 操作 原理 示意 


注 猴 : 
Inform 请 求 PDU 也 可 以 由 一 人 台 NMS 发 送 给 另 一 台 NMS， 要 求 对 方 对 自己 发 送 的 
Trap PDU 进行 确认 。 
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鉴于 SNMPv2 和 SNMPv2c 在 安全 性 问题 上 都 走 同 了 极端 ,人 们 后 来 对 这 两 版 的 SNMPv2 
协议 进行 了 折衷 ， 定 义 出 来 了 一 个 既 可 以 提供 安全 认证 与 加 密 服 务 ， 又 不 至于 过 度 复 
杂 的 SNMPv2 版 本 ， 这 一 版 SNMPv2 称 为 基于 用 户 的 SNMPv2 (User-Based SNMP version 
2，SNMPv2u) 。 尽 管 SNMPv2u 同样 并 没有 得 到 广泛 使 用 ， 但 它 定 义 的 安全 框架 后 来 经 
过 改造 ， 被 最 新 版 的 SNMPv3 采纳 ， 成 为 SNMPv3 中 的 用 户 安 全 模块 (User Security 
Model, USM) 。 

SNMPv3 的 用 户 安全 模块 (以 及 SNMPv2u 的 服务 质量 部 分 [QoS] ) 规定 ， 管 理 员 有 权 
从 下 面 三 种 通信 安全 机 制 中 选择 其 一 ， 作 为 NMS 与 SNMP 代理 通信 时 采用 的 通信 方式 。 

e。 不 对 通信 执行 认证 或 加 密 CNoAuthNoPriv) : SNMP 代理 通过 用 户 名 对 管理 访问 

进行 认证 ，SNMP 数据 包 以 明文 的 形式 发 送 。 

e。 ”对 通信 执行 认证 ， 但 不 执行 加 密 (AuthNoPriv) : SNMP 代理 和 NMS 使 用 MD5 或 
者 SHA 认证 管理 访问 ， 但 SNMP 数据 以 明文 的 形式 发 送 。 

。 对 通信 执行 认证 和 加 密 (AuthPriv) : SNMP 代理 和 NMS 使 用 MD5 或 者 SHA 认证 
管理 访问 ， 同 时 使 用 DES、AES 等 加 密 算 法 对 SNMP 数据 进行 加 密 ， 并 以 密 文 的 
形式 发 送 。 

除了 用 户 安 全 模块 之 外 ，SNMPv3 还 增加 了 基于 视图 的 访问 控制 模型 (View-based 
Access Control Model，VACM) 。 通 过 这 个 模型 ，SNMPv3 设备 可 以 判断 这 位 访问 者 是 否 
有 权限 对 访问 的 管理 对 象 执 行 某 项 操作 。 这 也 就 是 说 ， 这 个 模型 类 似 于 AAA 中 的 授权 ， 
它 可 以 区 分 不 同 用 户 的 操作 权限 。 

SNMPv3 定义 的 PDU 类 型 与 SNMPv2 基本 一 致 ， 只 不 过 SNMPv3 定义 了 一 种 新 的 报告 
(Report ) PDU。 这 种 报告 PDU 的 作用 是 在 消息 接收 方 (无 论 SNMPv3 代理 还 是 NMS) 无 法 
对 PDU 进行 解码 (Decode) 时 ， 回 消息 的 发 送 方 发 起 报告 。SNMPv3 定义 的 报告 PDU 超出 
了 本 系列 教材 的 知识 体系 ， 我 们 在 这 里 不 作 进 一 步 介 绍 。 

最 后 ， 尽 管 SNMPv1 和 SNMPv2 的 PDU 在 封装 上 存在 差异 ，SNMPv2 也 定义 了 新 的 PDU 
类 型 ， 但 (如 果 将 PDU 视 为 一 个 完整 字段 的 话 ) SNMPv1 和 SNMPv2 定义 的 消息 封装 结构 
是 相同 的 。SNMPv3 为 了 部 现在 安全 性 方面 的 提升 ， 而 对 SNMP 消息 的 封装 结构 进行 了 修 
改 。 关 于 各 版 本 SNMP 消息 的 封 世 方式 ， 我 们 在 这 里 不 作 进一步 介绍 。 

11. 1.2 节 对 几 个 版 本 的 SNMP 进行 了 介绍 和 对 比 。 我 们 再 次 重申 之 前 的 建议 ， 希 望 
读者 能 够 通过 阅读 上 面 的 内 容 自己 组 织 一 张 SNMP 各 个 版 本 对 比 表 来 检验 自己 对 上 面 内 
容 的 理解 水 平 ， 并 方便 以 后 快速 回顾 关于 SNMP 技术 的 主要 内 容 。 我 们 在 这 里 也 要 强调 ， 
网 络 管理 的 安全 性 对 于 网 络 的 正常 运转 至 关 重 要 。 在 实际 工作 中 ， 读 者 应 该 在 一 切 可 能 
的 条 件 下 选择 SNMPv3， 更 应 该 考虑 通过 诸如 访问 控制 列表 (ACL) 等 其 他 安全 策略 配合 
SNMPv3 提供 的 安全 性 服务 ， 来 确保 网 络 安 全 运行 。 

11. 1. 3 节 会 演示 SNMP 的 配置 方法 。 
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11.1.3 SNMEP 的 配置 


当 企 业 或 组 织 机 构 的 网 络 建设 工作 完成 之 后 ， 整 个 网 络 项 目 就 会 转 入 运 维 阶 段 。 在 
规模 越 大 的 网 络 中 ， 参 与 工作 的 网 络 设备 数量 就 越 多 ， 接 口 、 线 绕 、 动 态 路 由 协议 等 信 
姑 的 维护 工作 量 也 束 越 大 ， 运 维 工作 的 难度 也 会 相应 提升 。 一 般 来 说 ， 在 大 规模 网 络 环 
境 中 ， 会 专门 有 一 个 团队 负责 “网 管 系统 ”， 这 个 团队 的 工作 责任 可 谓 重 大 ， 他 们 是 网 
络 出 现 问 题 时 的 第 一 发 现 人 。 为 了 能 让 三 两 个 人 组 成 的 团队 担负 起 这 个 重任 ， 管 理 员 可 
以 在 网 络 项 目的 实施 中 ， 事 先 在 网 络 设备 上 开局 SNMP 代理 功能 ， 并 在 网 络 中 部 署 NMS， 
以 此 来 减轻 管理 员 的 工作 负担 。 

11. 1. 3 节 会 演示 如 何在 华为 路 由 器 上 局 用 SNMP 代理 功能 。 本 节 配 置 的 SNMP 版 本 是 
目前 最 为 常见 的 SNMPv2c， 以 图 11-6 所 示 拓 扑 为 例 ， 在 AR1 上 启用 SNMPv2c 代理 功能 ， 
并 在 NMS 上 实现 对 它 的 常理 。 


ARI 


GO/O/0 


192.168.56.2/24 





NMS 
192.168.56,1/24 


图 11-6 在 NMS 上 通过 SNMPv2c 实现 对 AR1 的 管理 


如 图 11-6 所 示 ，AR1 与 NMS 同属 于 一 个 IP 子 网 ， 这 种 设计 是 为 了 简化 实验 环境 ， 
尽量 突出 实验 重点 ， 也 就 是 说 在 11. 1. 3 节 中 我 们 只 关注 与 SNMP 相关 的 配置 因素 ， 而 不 
去 考虑 IP 路 由 问题 。 但 在 实际 工作 中 ，NMS 和 被 管理 设备 往往 属于 不 同 的 IP 子 网 ， 它 
们 之 间 只 要 路 由 可 达 就 行 了 。 管理 员 在 配置 SNMP 代理 功能 前 , 首先 需要 保证 NMS 与 被 管 
理 设 备 之 间 实 现 IP 通信 。 当 然 了 ， 学习 到 了 现 阶 段 ， 读 者 应 该 能 够 意识 到 我 们 在 说 “ 实 
现 谁 和 谁 之 间 的 通信 ”时 ， 往 往 也 意味 者 “只 实现 它们 之 间 的 通信 ”。 套 用 到 SNMP 案例 
中 ， 就 是 说 管理 员 要 让 指定 的 这 台 NMS 能 够 通过 SNMPv2c 与 AR1 (以 及 其 他 被 管理 设备 ) 
进行 通信 ， 而 其 他 设备 不 能 通过 SNMPv2c 与 AR1 进行 通信 。 这 样 做 也 在 一 定 程度 上 保障 
了 网 络 设 备 (配置 等 信息 ) 的 安全 性 。 例 11-1 中 展示 了 在 AR1 上 实现 与 NMS 之 间 通 信 的 
相关 配置 命令 。 

例 11-1 在 AR1 上 配置 与 NMS 之 间 的 通信 

[ARLj interface gigabitethernet 0/0/0 

[AR1-GigabitEthernet0/0/0]ip address 192. 168. 56. 2 24 
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[AR1-GigabitEthernet0/0/0]quit 

[ARl]acl 2000 

[AR1l-acl-basic-2000jrule permit source 192. 168. 56. 1 0. 0.0.0 

[AR1-ac1l-basic-2000jrule deny source any 

要 想 限 制 只 让 某 一 台 或 某 几 台 NMS 利用 SNMP 来 管理 网 络 设备 ， 管 理 员 可 以 在 基本 
IP ACL 中 允许 NMS 的 IP 地 址 (或 子 网 ) ， 并 拒绝 所 有 其 他 IP 地 址 。 本 书 在 第 3 章 中 介 
绍 了 IP ACL 在 流 控 制 / 简 化 流 控制 业务 模块 中 的 用 法 ，11. 1. 3 市 演示 的 是 ACL 在 SNMP - 
业务 模块 中 的 用 法 。 在 SNMP 业务 模块 中 应 用 ACL 时 ，ACL 中 允许 的 IP 地 址 正 是 NMS 的 
IP 地 址 ， 并 且 无 需 考 虑 ACL 的 方向 性 ， 接 下 来 管理 员 会 在 SNMP 代理 的 配置 命令 中 应 用 
它 。 例 11-2 展示 了 AR1 上 启用 SNMP 代理 的 相关 配置 命令 。 

例 11-2 在 AR1 上 启用 SNMP 代理 的 相关 配置 


[ARI1] snmp-agent 

[ARl]snmp-agent sys-info version v2c 

[ARl]snmp-agent mib-view mgmt-wr include 1,3.6.1.2 

[AR1 | snmp-agent community write nms-Admin mib-view mgmt-wr acl 2000 


让 我 们 逐条 解释 这 四 条 命令 。 第 1、2 条 命令 读者 应 该 能 够 懂 ， 无 需 多 做 解释 ， 二 
里 只 哆 嗓 两 句 : SNMP 代理 功能 默认 是 局 用 的 ， 因 此 第 1 条 命令 实际 上 无 再 输入 ; SNMP 

代理 功能 默认 所 有 SNMP 版 本 是 启用 的 ， 在 我 们 这 个 实验 中 只 使 用 SNMPv2cA 因此 管理 员 
使 用 第 2 条 命令 把 版 本 改 成 了 v2c。 

第 4 条 命令 的 作用 是 把 几 个 配置 元 素 关 联 在 一 起 ， 从 完整 的 命令 句法 更 好 分 清 这 
几 个 元 素 : snmp-agent community {read | na community-name [mib-view 
view-name] [acl ac7-72ober] 。 从 加 糙 的 关键 字 我 们 可 以 轻松 识别 出 ， 这 条 命令 的 
主要 作用 是 定义 读 / 写 团体 访问 名 ， 人 问 名 的 使 用 作出 限制 : 
一 方面 可 以 限制 这 个 团体 访问 名 能 够 访问 的 MIB 视图 ， 男 一 方面 还 可 以 限制 哪 台 哪 
些 ) NMS 上 可 以 使 用 这 个 团体 访问 名 。 例 11-1 中 创建 的 ， ACL 2000 就 是 在 这 里 应 用 到 
SNMP 业务 模块 中 。 管 理 员 在 这 条 命 令 中 设置 的 团体 名 为 nms-Admin， 这 是 符合 团体 名 
复杂 度 要 求 的 编写 方法 : 至 少 包 含 6 个 字符 ; 至 少 由 2 种 字 符 构 成 〈 小 写 宇 母 、 大 与 
字母 、 数 字 、 除 空格 外 的 特殊 字符 ) 。 团 体 名 配置 成 功 后 ， 会 以 密 文 的 形式 保存 在 路 
由 器 的 配置 中 。 本 

接 下 来 我 们 对 MIB 视图 相关 的 配置 多 解释 儿 句 。 第 3 条 命令 就 是 在 创建 MIB 视图 ， 
它 的 完整 句法 是 这 样 的 : snmp-agent mib-view view-name lexclude | include} 
subtree-name [mask mask] 。 对 照 着 完整 句法 我 们 可 以 看 出 ， 管 理 员 在 例 11-2 中 指定 了 
名 为 mgmt-wr 的 MIB 视图 中 包含 1. 3. 6. 1. 2。 现 在 问题 来 了 ， 这 一 串 数字 是 什么 ? 还 记 
得 我 们 在 图 11-4 中 也 见 过 类 似 的 一 串 数 字 ， 它 其 实 是 0ID， 它 标识 了 管理 对 象 在 MIB 中 
的 位 置 。MIB 是 图 11-7 描绘 的 树 形 分 层 结构 。 
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root 
ccitt (0) 1SO (1) joint-iSo-ccitt (2 ) 
org (3) 
dod (6) 
- 
机 internet (1) 


OD: |.3.6;,12 mgmt (2) private (4) 


i enterprises (1) 
mib-2 4 ) 
er OID: 13.6.1.4.1 


System (1) interface (2) at (3) ip (4) icmp (5) tcp (6) 。。。。。 


图 11-7 MIB 树 形 分 层 结构 示 ; 


EU 


”现在 让 我 们 对 照 图 11-7 再 来 理解 这 串 数字 1. 3. 6. 1.2， 它 其 实 对 应 的 管理 对 和 象 是 
mgmt， 这 个 对 象 的 完整 路 径 是 iso. org. dod. internet. mgmt。 在 华为 设备 的 配置 中 , 我 
们 可 以 使 用 一 串 数字 指明 某 个 管理 对 象 的 路 人 径 ， 也 可 以 使 用 这 个 管理 对 和 象 的 名 称 。 比 
如 管理 员 在 AR1 上 查看 我 们 刚 建 立 的 MIB 视图 ， 看 看 路 由 占 会 给 我 们 什么 反馈 ， 详 见 
例 11-3。 
例 11-3 在 AR1 上 查看 MIB 视图 
[AR1jdisplay snmp-agent mib-view 
View name: mgmt—wr 
MIB subtree: mgmt 
Subtree mask: 
Storage type: nonVolatile 
View type: included 


View status: active 


View naine: ViewDefault 


MIB subtree: internet 
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Subtree mask : 
Storage type: nonVolatile 
View type: included 


View status: active 


View name: ViewDefault 
MIB subtree: lagMIB 
Subtree mask: 

Storage type: nonVolatile 
View type: included 


View status: active 


View name: ViewDefault 
MIB subtree: snmpUsmMIB 
Subtree mask: 

Storage type: nonVolatile 
View type: excluded 


View status: active 


View name: ViewDefault \ 
MIB subtree: snmpVacmMIB 

Subtree mask: 

Storage type: nonVolatile 

View type: excluded 


View status: active | 


Total number is 2 

例 11-3 中 阴影 部 分 是 我 们 刚才 创建 的 MIB 视图 mgmt-wr， 从 这 里 没有 看 到 任何 数字 
串 ， 但 MIB subtree 字段 中 显示 出 mgmt。 还 记得 例 11-2- 中 第 3 条 命令 的 完整 句法 吗 ? 
在 参数 subtree-name 部 分 管理 员 输入 的 是 一 串 数字 ,同样 的 , 在 这 个 参数 的 位 置 也 可 以 
输入 管理 对 象 的 名 称 ， 在 本 例 中 也 就 是 mgmt。 从 例 11-3 的 命令 输出 内 容 中 我 们 还 可 以 
看 出 ， 路 由 器 中 默认 有 一 个 名 为 YiewDefault 的 MIB 视图 ， 并 且 它 包含 多 个 管理 对 象 。 
在 一 个 MIB 视图 中 管理 员 是 可 以 指定 多 个 管理 对 象 的 , 每 个 管理 对 象 需要 配置 一 条 命令 。 

图 11-7 中 我 们 还 特意 标记 出 了 0ID: 1. 3.6.1.4.1， 它 是 指 设备 厂商 针对 自己 的 网 
络 设备 ， 自 定义 的 私有 MIB 管理 对 象 。 鉴 于 MIB 的 庞大 ， 让 管理 员 记 忆 所 有 管理 对 象 的 
0ID 既 不 现实 也 不 必要 。 在 所 有 SNMP 管理 应 用 中 ， 管 理 员 都 可 以 针对 网 络 中 使 用 的 网 络 
设备 ， 以 及 希望 进行 管理 的 MIB 管理 对 象 ， 有 选择 地 加 载 MIB 数据 。 管 理 员 可 以 在 华为 
官方 网 站 上 ， 下 载 华为 路 由 器 、 交 换 机 、 防 火 墙 等 网 络 设备 所 对 应 的 MIB 文件 。 
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为 了 能 够 使 AR1 在 芭 些 事件 发 生 时 《比如 链 路 断 开 、 接 口 宕 掉 、 动 态 路 由 协议 邻居 
天 系 断 开 等 ) ， 主 动向 NMS 发 送 未 经 请 求 的 Trap 消息 ， 管 理 员 还 需要 为 SNMP 代理 配置 
与 Trap 目标 主机 相关 的 参数 ， 例 11-4 中 展示 了 AR1 上 的 相关 配置 信息 。 

例 11-4 在 AR1 上 配置 与 Trap 相关 的 参数 

LAR1jsnmp=agent target-host trap-hostname nms-pc address 192. 168. 56. 1 trap-paramsname 
snmptrap 

[ARl1| snmp-agent target-host trap-paramsname snmptrap V2C CT 

[ARl1 | snmp-~agent trap enable a | 

Info: AL1 switches of SNMP trap/notification will be open. Continue? [Y/N]:y 

在 设置 SNMP 代理 的 Trap WE 能 时 ， 管 理 员 需要 配置 以 下 两 条 命令 。 

snmp-agent target-host trap-hostname hostname address ip-address trap- 
paramsname paramsname: 管理 员 可 以 使 用 这 条 命令 来 设置 能 够 接收 Trap 消息 的 目的 主 
机 信息 ， 通 第 都 是 指 网 管 设 备 ， 在 本 例 中 就 是 NMS。 pe 主机 起 名 为 nms-pc， 
绑 定 了 IP 地 址 192. 168. 56. 1， 并 关联 了 一 个 名 为 snmptrap 的 Trap 参数 信息 列表 。 在 
Ne SNMP 代理 在 发 送 Trap 消息 时 所 使 用 的 参数 。 

-条 命令 是 用 来 配置 Trap 参数 信息 列表 的 : snmp-agent target-host trap- 
paramsname paramsname {v1 | v2c} securityname securityname。 在 这 里 只 展示 了 与 
SNMPv1 和 SNMPv2c 相关 的 配置 命令 , SNMPv3 的 配置 命令 中 包含 更 多 可 以 设置 的 参数 。 在 
Trap 参数 信息 列表 中 ， 管 理 员 需 要 指定 发 送 Trap 消息 所 使 用 的 SNMP 版 林 ， 以 及 Trap 
消 县 的 主体 名 。 在 使 用 SNMPv3 时 ， 这 条 命令 中 指定 的 Trap 消息 主体 名 就 是 用 户 名 ， 两 
者 必须 相同 。NMS 在 接收 到 Trap 消息 时 ， 会 对 这 个 参数 进行 验证 。 在 SNMPvl 和 SNMPv2c 
中 ，NMS 不 会 对 这 个 参数 进行 验证 ， 我 们 为 了 强调 这 个 参数 在 一 些 情况 下 〈SNMPv3 中 ) 
需要 与 NMS 上 的 设置 相同 ， 因 此 把 团体 名 作为 这 个 参数 的 取 值 。 

最 后 ， 管 理 员 再 要 使 用 命令 snmp-agent trap enable 来 启用 Trap 功能 。 如 果 像 例 
11-4 中 那样 配置 ， 路 由 器 会 局 用 所 有 特性 的 Trap 功能 。 通 常 在 实际 工作 中 ， 管 理 员 会 
在 这 条 命令 中 使 用 关键 字 feature-name 再 加 上 希望 启用 Trap 的 具体 特性 名 称 ， 来 有 选 
择 地 局 用 Trap 功能 

到 此 为 止 ,路 由 堆 CSNMP 代理 ) 上 的 所 有 配置 就 完成 了 ,管理 员 可 以 使 用 命令 display 
”snmp-agent target-host 来 检查 Trap 目标 主机 的 设置 ， 例 11-5 展示 了 这 条 命令 的 输出 
信息 。 

例 11-5 在 AR1 上 查看 Trap 目标 主机 的 配置 


[AR1jdisplay snmp-agent target-host 
Traphost list: 
Target host name: nms-pc 


Traphost address: 192. 168. 56. 1 
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Traphost portnumber: 162 


Target host parameter: snmptrap 
Total number is 1 


Parameter list trap target host: 

Parameter name of the target host: snmptrap 
Message mode of the target host: SNMPV2C 
Trap version of the target host: v2c 


Security name of the target host: nms-Admin 


Total number is 1 

从 例 11-5 所 示 的 命令 输出 内 容 中 ， 管 理 员 可 以 检查 Trap 目标 主机 的 参数 信息 。 再 
次 强调 ， 在 使 用 SNMPvl 和 SNMPv2c 时 ， 目 标 主 机 的 安全 名 (Security name) 并 不 用 于 
身份 认证 ， 不 必 与 团体 名 相同 。 

接 下 来 管理 员 需 要 在 NMS 上 对 SNMP 网 管 系统 进行 设置 ， 包 括 最 重要 的 团体 名 。 市 
面 上 的 SNMP 网 管 系统 五 花 八 门 , 我 们 在 这 里 就 不 再 演示 NMS 上 的 具体 配置 了 。 只 提示 一 
点 ， 在 NMS 上 添加 SNMP 代理 时 ， 一 般 可 以 手动 添加 ， 或 者 动态 添加 。 手 动 添加 时 ， 管 理 
员 需 要 手动 输入 SNMP 代理 〈 被 管理 设备 ， 如 AR1) 的 IP 地 址 、SNMP 版 本 和 认证 参数 ， 
比如 本 例 中 认证 参数 就 是 团体 名 。 动 态 添加 时 ， 管 理 员 可 以 让 NMS 通过 广播 的 方式 发 出 
SNMP Get 请 求 ， 要 求 网 络 中 的 SNMP 代理 提供 目 己 的 系统 名 称 。 对 于 华为 设备 来 说 ， 也 
就 是 提供 〈 管 理 员 通过 命令 sysname 设置 的 ) 设备 名 称 。 

最 后 我 们 通过 图 11-8 展示 一 个 Trapj 消 息 数据 包 。 

从 图 11-8 的 数据 包 解析 中 我 们 可 以 看 出 SNMP 的 版 本 和 团体 名 ， 注 意 团体 名 在 传输 
过 程 中 是 明文 的 形式 ， 这 也 是 SNMPvl 和 SNMPv2c 的 安全 隐患 。 接 着 是 SNMP 的 数据 半 
分 ， 这 个 Trap 消息 中 包含 了 8 个 管理 对 象 ， 其 中 最 后 网 两 个 0ID 是 以 1. 3. 6. 1.4 开头 
的 ， 对 照 图 11-4 展示 的 MIB 树 形 结构 ， 我 们 可 以 发 现 这 两 个 0ID 属于 企业 自 定义 的 私 
有 管理 对 象 。 要 想 解 析 这 两 个 管理 对 象 的 含义 ， 管 理 员 就 需要 在 NMS 上 加 载 华为 设备 
的 MIB 文件。 

11. 1 节 介 绍 了 SNMP 的 工作 原理 并 对 比 了 几 个 SNMP 版 本 , 最 后 展示 了 如 何在 华为 设 
备 上 配置 当前 最 常用 的 SNMPv2c。 我 们 这 个 案例 中 只 展示 了 “一半” 的 配置 , 也 就 是 SNMP 
代理 的 配置 信息 ， 并 没有 展示 如 何 配置 SNMP 管理 系统 。SNMP 管理 系统 多 为 图 形 化 界面 ， 
通过 图 、 表 以 及 各 种 颜色 的 组 合 能 够 更 直观 地 展示 网 络 中 所 有 被 管理 设备 的 状态 :比如 
用 绿色 表示 设备 工作 正常 ， 用 红色 表示 设备 出 现 了 严重 的 告警 信息 和 等。 同时， 好 的 SNMP 
网 管 系统 的 功能 非常 强大 ,， 并 不 局 限于 接收 和 发 送 SNMP 消息 。 华 为 e-Sight 就 是 一 称 功 
能 强大 的 运 维 网 管 系统 ，11. 3 节 会 对 e-Sight 的 功能 进行 介绍 。 
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a Capturing from Standard input - Wireshark 一 
Fle Edit View Go Capture ee Statistics Telephony Tools Help 
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Filter: snmp ” Expression::. Clear Apply 
No. Time Source Destination Protocol Info 由 
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”图 11-8 Trap 消息 抓 包 截图 








1.2 NTP 协 议 


对 于 很 多 还 没有 网 络 技术 从 业经 验 的 读者 来 说 ， 或 许 并 不 认同 网 络 设备 也 必须 拥有 
准确 时 间 的 重要 性 。 诚 然 ， 网 络 设备 不 需要 上 班 上 学 ， 也 不 需要 去 赶 飞机 火车 轮船 ， 网 
络 设备 的 管理 员 也 很 少 会 通过 网 络 设备 上 的 时 钟 来 了 解 当 前 的 时 间 ， 那 么 网 络 设 备 上 的 
时 间 (主要 是 准确 性 ) 为 什么 依然 很 重要 呢 ? 

实际 上 ， 当 网 络 中 发 生 馈 误 时 ， 管 理 员 经 彰 需 要 通过 网 络 设备 上 的 时 间 ， 来 判断 故 
隐 及 生 的 起 点 ， 进 而 推 靳 出 故 隐 原因 。 同 样 ， 当 网 络 攻击 发 生 时 ， 管 理 员 也 需要 通过 日 
六 中 的 时 间 来 了 解 攻 击 的 情况 。 除 了 故障 、 攻 击 等 意外 情况 之 外 ， 有 一 些 网 络 功 能 〈 如 
计 费 系统 、 时 间 访 问 控制 列表 、 安 全 应 用 中 的 时 间 戳 ) 也 需要 参考 设备 上 的 时 间 来 执行 。 
总 之 ， 为 网 络 设备 赋予 准 确 而 一 致 的 时 间 绝 非 儿 戏 ， 这 一 步 简 单 的 操作 可 以 为 日 后 的 网 
绍 正 常 运行 与 日 弟 运 维 带 来 重大 的 便利 。 


11.2.1 NTP 协议 的 原理 
显然 ， 给 网 络 设备 赋予 时 间 的 最 简单 方式 就 是 手动 给 设备 配置 系统 时 间 。 手 动 配置 
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系统 时 钟 的 操作 方法 ， 我 们 在 本 系列 教材 《网 络 基 础 》 的 2. 2.3 节 (VRP 系统 配置 基础 ) 
就 已 经 进行 了 介绍 ， 读 者 可 以 回顾 这 一 节 来 了 解 手 动 配置 系统 时 钟 所 需要 执行 的 相关 配 
置 命 令 ， 我 们 在 这 里 不 再 重复 。 

当 一 个 网 络 规模 很 小 时 ， 管 理 员 固然 有 可 能 按照 我 们 在 《网 络 基础 》 教 材 2. 2.3 
节 介 绍 的 方法 ， 逐 台 设 备 地 为 所 有 网 络 设备 设置 系统 时 钟 ， 但 这 种 手动 输入 时 间 的 做 
法 准确 性 很 差 ， 十 分 容易 造成 误差 。 随 着 网 络 规模 的 扩大 ， 给 所 有 网 络 设备 一 一 配置 
时 间 的 做 法 也 会 越 来 越 多 地 增加 管理 员 的 配置 负担 。 此 时 ， 最 理想 的 做 法 是 定义 一 种 
让 网 络 设备 之 间 相 互 同 步 时 间 的 协议 ， 这 样 既 减 少 了 管理 员 的 配置 负担 ， 也 可 以 减少 
设备 与 设备 之 间 的 误差 ， 还 可 以 实现 设备 之 间 时 钟 的 周期 性 同步 ， 可 谓 一 举 三 得 。 这 
种 为 此 定义 出 来 的 、 在 设备 之 间 同 步 时 间 的 协议 ， 称 为 网 络 时 间 协 议 (Network Time 
Protoeo]l; NIP) & 

迄今 为 止 ，NTP 一 共有 5 个 版 本 ， 分 别 为 NTPv0 (RFC 958) 、NTPv1 (RFC 1059) 、 
NTPv2 (RFC 1119) 、NTPv3 (RFC 1305) 和 NTPv4 (RFC 5905) 。 最 新 版 本 的 NTPv4 在 
NTPv3 的 基础 上 对 IPv6 提供 了 文 持 , 增强 了 安全 性 , 同时 可 以 同 后 莱 容 NTPv3。 根据 RFC 
的 定义 ，NTP 会 以 UDP 作为 传输 层 协 议 ， 该 协议 的 公共 闹 口 号 为 123。 

NTP 定义 了 两 类 不 同 的 消息 ， 分 别 为 同步 消息 和 控制 消息 。 在 绝 大 多 数 情况 下 ，NTP 
设备 之 间 会 使 用 客户 端 一 服务 器 的 通信 模型 进行 通信 ， 服 务 器 与 客户 端 之 间 往 往 会 以 单 
播 的 形式 发 送 这 两 类 消息 , 这 种 NTP 通信 模式 称 为 单 播客 户 端 一 服务 器 模式 。 同 时 ，NTP 
也 定义 了 对 等 体 到 对 等 体 的 模型 〈 称 为 对 等 体 模 式 ) 、 采 用 广播 形式 通信 的 客户 病 一 服 
务 器 模型 〈 广 播 模 式 ) 等 另外 4 种 模式 。 当 一 台 NTP 设备 接收 到 一 个 NTP 消息 时 ， 它 可 
以 通过 这 个 NTP 消息 封装 中 的 模式 (Mode 字段 ， 来 判断 发 送 方 使 用 的 NTP 模式 ， 以 及 
这 个 消息 的 类 型 〈 是 同步 消息 还 是 控制 消息 ) 。 


注 粹 : 

在 华为 ICT 学 院 路 由 交换 技术 系列 教材 中 ， 我 们 不 会 对 NTP 的 封装 格式 进行 详细 
介绍 。 此 外 ， 我 们 也 不 会 讨论 其 他 NTP 通信 模式 ( 单 播客 户 端 一 服务 器 模式 之 外 的 ) 
的 工作 原理 。 


gi. 
在 单 播客 户 端 一 服务 器 模式 下 ，NTP 协议 同步 时 间 的 流程 可 以 概括 为 下 面 几 步 。 
第 1 步 被 配置 为 NTP 客户 端的 设备 使 用 单 播 癌 指定 的 NTP 服务 器 发 送 一 个 NTP 同 
步 消息 ， 向 这 人 台 NTP 服务 器 请 求 同 步 时 间 。NTP 客户 端 会 将 目 己 封装 这 个 
消息 时 的 时 间 (这 个 时 间 为 T0〉 封 装 到 这 个 消息 中 ， 如 图 11-9 所 示 。 
第 2 步 NTP 服务 器 在 作出 响应 时 ， 会 按照 自己 的 时 钟 将 接收 到 这 个 NTP 同步 请 求 
消息 的 时 间 〈T1) 和 同 这 人 台 NTP 服务 堪 啊 应 NTP 同步 消息 的 时 间 〈T2) 也 
添加 到 响应 消息 中 ， 然 后 将 这 个 消息 发 送 给 请 求 NTP 同步 消息 的 那 台 NTP 
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客户 端 ， 如 图 11-10 所 示 。 


-一 


三 a 
NTP 客 户 端 时 钟 您 好 ， 我 需要 跟 您 对 一 下 表 。 | NTP 服 务 器 时 钟 
08:10:00 ， 我 的 表现 在 8:10:00， 您 的 表 儿 点 ?、 10:10:00 










me, 





| 
NTP 客 户 端 NTP 服 务 器 
图 11-9 NTP 客户 端 向 NTP 服务 器 请 求 同 步 时 间 
-a 
Pr 
NTP 客 户 端 时 钟 您 好 ， 接 收 到 您 请 求 时 ， 我 的 时 间 是 10:10:01 
08:10:05 发 送 之 条 响应 消息 时 ， 我 的 时 间 是 10:10:05 


NTP 服 务 器 时 钟 
10:10:05 


NTP 客 户 端 NTP 服 务 器 
图 11-10 NTP 客户 端 朵 NTP 服务 器 请 求 同 步 时 间 


第 3 步 NTP 客户 喘 在 接收 到 响应 时 ， 会 搂 归 自己 当前 的 时 钟 ， 记 录 下 接收 到 这 个 
NTP 同步 响应 的 时 间 〈T3) ， 然 后 使 用 这 4 个 时 间 计算 出 客户 端 与 服务 器 
之 间 的 时 间 偏 移 值 和 双向 延迟 时 间 , 并 由 此 来 设置 自己 的 时 间 , 如 图 11-11 
所 示 。 


LN 
NTP 客 户 端 时 钟 1。 NIP 间 ， 


\ (CT3-T0) 一 (CT2-T1) ne 












“我 们 两 边 的 时 间 差 是 





，08:10:00 一 [CTI-TO)]+(T2-T3)]/2=(02:00:01+01:59: 
:10:10:0] 、_ 59)/2=4 小 时 /2=2 小 时 ， 也 就 是 说 ， 我 比 服 一 
: 10:10:05 4 务 器 慢 了 2 小 时 整 ， 我 需要 把 表 调 快 2 小 时 
: 08:10:06 wig at 


图 11-11 NTP 客户 端 根据 4 个 时 间 计 算出 它 与 服务 器 之 间 的 时 间 差 与 转发 延迟 
注 粹 ; 
图 11 一 11 中 的 参数 和 计算 方法 都 是 简化 的 结果 。 
鉴于 网 络 中 的 每 一 台 网 络 设备 都 需要 配置 时 间 ， 因 此 任何 一 台 网 络 设备 都 完全 可 以 
既 充 当 NTP 客户 端 ， 又 充当 NTP 服务 器 , 将 从 自己 NTP 服务 器 那里 同步 过 来 的 时 间 信 息 ， 
再 同步 给 目 己 的 客户 疹 。 举 例 来 说 ， 如 果 一 家 企业 网 络 采用 本 书 第 一 章 中 介绍 的 企业 网 


一 0 一 


高 级 网 络 技术 


架构 (由 核心 层 、 汇 聚 层 和 接 入 层 组 成 ) ， 那 么 汇聚 层 的 交换 机 就 可 以 同时 充当 NTP 客 
户 端 〈 核 心 层 交换 机 的 ) 和 NTP 服务 器 《〈 接 入 层 交 换 机 的 ) ， 这 种 NTP 部 署 方式 可 以 将 
时 间 信 息 从 核心 层 交 换 机 一 直 同 步 给 接 入 层 交 换 机 。 

关于 NTP 协议 ， 我 们 还 有 一 点 需要 进行 补充 说 明 。 只 要 读者 多 了 解 社会 上 一 些 不 实 
信息 的 产生 过 程 ， 就 会 发 现 信息 的 准确 性 很 容易 随 着 传递 时 间 的 延长 、 传 递 者 的 增加 而 
不 断 下 降 。 对 于 准确 性 要 求 很 高 的 时 间 信 息 当 然 也 符合 这 样 的 规律 。 为 了 描述 时 间 信 息 
源 的 准确 性 ，NTP 协议 定义 了 一 个 分 层 (Stratum) 的 概念 。 这 个 分 层 标识 了 该 时 钟 源 的 
时 间 信 息 与 主 时 间 服 务 器 之 间 经 历 了 多 少 传 递 设备 。 分 层 的 取 值 范围 是 0 一 16。 分 层 值 为 
0 的 时 钟 都 是 精准 度 极 高 的 时 间 信 息 源 ， 如 GPS 时 钟 、 原 子 钟 等 ， 这 类 信息 源 称 为 权威 
时 钟 。 分 层 值 为 1 则 表示 这 个 时 钟 源 的 时 钟 信 息 是 直接 从 权威 时 钟 那 里 获得 的 ， 分 层 值 
为 1 的 时 钟 源 一 般 都 会 充当 网 络 中 的 主 时 间 服 务 器 。 当 设备 发 送 NTP 消息 时 ， 会 将 自己 
的 NTP 分 层 数 封装 在 NTP 消息 中 。11. 2. 2 节 的 实验 会 通过 抓 包 展示 NTP 消息 的 层级 值 。 

在 11.2.1 节 中 ,我 们 对 单 播客 户 端 一 服务 器 模式 下 ，NTP 的 工作 原理 进行 了 简单 的 
说 明 。 在 11. 2. 2 节 中 ,我 们 会 通过 一 个 简单 的 实验 ,演示 如 何 配置 单 播客 户 端 一 服务 器 . 
模式 下 的 NTP 服务 器 和 NTP 客户 端 ， 以 及 这 个 环境 下 单 播 NTP 同步 消息 的 封装 方式 。 
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11. 2.2 闻 通 过 一 个 简单 的 环境 展示 如 何在 华为 网 络 设 pe er 必 11-12 
展示 了 与 NTP 实验 相关 的 拓扑 。 


ISP 幅 下 ARI AR2 
路 由 器 10.0.10.2/24 
.GO/0/1 
GO/0/0 GO/O/1 
202.108.0.1/30 10.0.10.1/24 


NTP 层 数 | 同步 方向 NTP 层 数 2 同步 方向 NTP 层 数 3 


图 11-12 NTP 配置 环境 “ 


在 图 11-12 所 示 网 络 环境 中 ，AR1 作为 企业 的 网 关 路 由 器 与 ISP 路 由 器 相连 ， 并 通 
过 ISP 申请 到 了 公 网 IP 地 址 202. 108. 0. 1/30。AR1 使 用 单 播客 户 端 一 服务 器 模式 的 NTP， 
通过 公 网 与 标准 时 钟 同步 ， 并 作为 企业 网 内 部 的 时 钟 源 ， 仍 然 使 用 单 播客 户 端 一 服务 器 
模式 的 NTP， 对 企业 中 的 其 他 设备 进行 同步 。 作 为 企业 中 的 其 他 网 络 设 备 ， 本 例 中 只 给 
出 了 一 人 台 路 由 器 AR2， 并 以 它 作 为 NTP 客户 端 。 

在 单 播客 户 端 一 服务 器 模式 中 ， 时 钟 信 息 只 能 是 客户 端 与 服务 器 进行 同步 ， 服 务 器 
不 会 问 客 户 端 进行 同步 。 对 于 像 AR1 这 种 还 需要 充当 本 地 网 络 NTP 服务 器 的 设备 来 说 ， 
只 有 它 自己 的 时 钟 已 同步 后 ， 才 能 作为 NTP 服务 器 去 同步 其 他 设备 。 并 且 也 只 有 当 服 务 
器 端的 时 钟 层 数 小 于 客户 端的 时 钟 层 数 时 ， 客 户 端 才 会 癌 其 进行 同步 。 
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在 使 用 单 播客 户 端 一 服务 器 模式 的 NTP 时 , 管理 员 需 要 在 NTP 服务 器 端 配置 主 时 钟 ， 
这 时 要 使 用 系统 视图 命令 ntp-service refclock-master [ip-address|] [stratuml|。 
理 员 还 需要 在 NTP 客户 端 使 用 系统 视图 命令 ntp-service unicast-server ip-address,， 
来 指定 NTP 服务 器 的 IP 地 址 ， 使 客户 端 能 够 与 服务 器 进行 同步 。 例 11-6 展示 了 AR1L 上 
的 配置 信息 

例 11-6 AR1 上 的 配置 命令 

LAR1] interface gigabitethernet 0/0/0 

[AR1=-GigabitEthernet0/X0OVX0] ip address 202. 108.0. 1 30. > 

[ARl-GigabitEthernet0/0/0]quit 

[AR1j interface gigabitethernet 0/0/1 

[ARI-Cigabitbthernet O01 i addiess 1020. 10, 1 24 

[AR1-GigabitEthernet0/0/1] qui¥ 

[AR1jntp-service unicast-server 202. 108. 0. 2 


[ARl1 ntp-service refclock-master 

在 例 11-6 的 配置 命令 中 ， 管 理 员 为 AR1 的 两 个 接口 分 别 配 置 了 IP 地 址 ， 并 在 系统 

视图 中 配置 了 两 条 NTP 命令 。 下 面 我 们 分 别 介绍 这 两 条 NTP 命令 的 作用 。 

。 ntp-service unicast-server 202. 108. 0. 2: 这 是 一 条 系统 视图 命令 ， 用 来 在 
单 播客 户 端 一 服务 器 模式 的 NTP 中 指定 NTP 服务 器 的 IP 地址。 在 本 例 中 ，AR1 
要 与 ISP 路 由 器 进行 时 钟 信 息 同 步 ， 因 此 IP 地 址 设置 为 202. 108. 0. 2。 

s WB refclock-master: 这 是 一 条 系统 视图 命令 ， 用 来 在 NTP 服务 此 
上 配置 主 时 钟 。 在 本 例 中 ，AR1 不 仅 作 为 NTP 客户 端 从 ISP 那里 同步 时 钟 信息 ， 
还 作为 企业 中 的 NTP 服务 器 ， 向 企业 中 的 其 他 网 络 设备 提供 时 钟 信息 ， 因 此 管 
we 在 这 条 命令 中 我 们 还 可 以 

设置 NTP 层 数 ， 由 于 本 例 中 ARI 通过 外 部 时 钟 源 获 得 时 钟 信息 ， 因 此 在 这 里 我 
们 不 手动 指定 层 数 信 息 ， 而 让 AR1 ete 

例 11-7 展示 了 在 AR1 上 查看 与 NTP 相关 信息 的 命令 输出 内 容 。 

例 11-7 在 AR1 上 查看 NTP 状态 

[ARl]display ntp-service status 

clock status: synchronized 

clock stratum: 2 

reference clock ID: 202. 108. 0.2 

nominal frequency: 100. 0000 Hz 

actual frequency: 99.9998 Hz 

clock precision: 2 16 

clock offset: -28799605. 0390 ms 


root delay: 113,38 ms 


root dispersion: 33.20 ms 
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peer dispersion:; 10. 94 ms 

reference time: 05:00:22.414 UTC Apr 15 2017 (DC9C2766. 6AOF4D7A) 

通过 使 用 例 11-7 展示 的 命令 display ntp-service status， 我 们 能 够 查看 路 由 如 
上 的 NTP 状态。 从 案例 的 命令 输出 内 容 中 ， 我 们 可 以 看 出 AR1 上 的 时 钟 状态 是 已 同步 
(clock status: Synchronized) ，NTP 层 数 为 2 (clock stratum: 2) ， 参 考 时 钟 ID 
是 202. 108. 0. 2， 也 就 是 管理 员 手 动 指定 的 NTP 服务 器 。 

由 于 AR1 上 自身 的 时 钟 已 同步 ， 因 此 它 EE 了 成 为 NTP 服务 器 的 前 提 ， 接 厦 我 们 
在 例 11-8 中 对 它 的 NTP 客户 端 〈AR2) 进行 配置 

例 11-8 AR2 上 的 配置 命令 

[AR2|interface gigabitethernet 0/0/1 

[AR2-GigabitEthernet0/0/1]ip address 10.0.10.2 24 

[AR2-GigabitEthernet0/0/1|]guit 

[AR2]ntp-service unicast~server 10.0.10.1 

在 AR2 上 ， 管 理 员 配置 了 与 AR1 相连 接口 60/0/1 的 IP 地 址 ， 同 时 在 系统 视图 中 使 
用 命令 ntp-service unicast-server 10. 0. 10. 1 指定 了 NTP 服务 器 CAR1) 的 IP 地 址 。 
例 11-9 展示 了 在 AR2 上 查看 NTP 状态 的 输出 内 容 。 

例 11-9 在 AR2 上 查看 NTP 状态 

[AR2]jdisptay ntp-service status \ 


clock status: synchronized 


7 一 


clock stratum: 3 
reference clock ID: 10.0.10.1 
nominal frequency: 100. 0000 Hz 
actual frequency: 99. 9995 Hz | 
clock precision: 2 18 
clock offset: -28799780. 3780 ms 
root delay: 223. 18 ms 站 
root dispersion: 87. 21 ms 
peer dispersion: 61. 36 ms 5 
reference time: 13:15:55.014 UTC Apr 15 2017 (DC9C9B8B. 03CO8FA7) 
从 例 11-9 的 命令 输出 内 容 跨 ;我 们 可 以 看 出 AR2 上 的 时 钟 状态 是 已 同步 (clock status: 
synchronized) ，NTP 层 数 递增 为 3 (clock stratum: 3) ， 参 考 时 钟 ID 是 10. 0. 10.1。 
在 路 由 器 上 ， 管 理 员 还 可 以 使 用 命令 display ntp-service sessions 来 查看 NTP 
会 话 的 状态 统计 信息 。 在 单 播客 户 端 一 服务 器 模式 的 NTP 环境 中 ，NTP 会 话 都 是 手动 汪 
加 的 。 例 11-10 展示 了 这 条 命令 的 输出 信息 。 
例 11-10 在 AR2 上 查看 NTP 会 话 状 态 


[AR2]display ntp-service sessions 


source reference stra reach poll] now offset delay disper 


EP 
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note: 1 souroe (master), 2 a 3 Mal 4 a Ch 


6 vpn-instance 
从 例 11-10 中 的 命令 display ntp-service sessions 输出 内 容 中 ， 我 们 可 以 看 出 
AR2 上 有 一 个 NTP 会 话 , 这 个 NTP 会 话 的 源 为 10. 0. 10. 1, 参考 时 钟 为 202..108. 0. 2, NTP 
层 数 为 2。 图 11-13、 图 11-14 和 图 11-15 分 别 展示 了 AR1 和 AR2 之 间 交 互 的 前 3 个 NTP 
报 文 解析 。 





加 Sop ne from Standard input - Wireshark 一 
File Edt View Go Gapture A alyze Statistics Telephony Tools Help 
胡 训 飞人 宙 | 包 国 半 多 全 | 人 9 » 多 | 国 国 | 


QQQa 国 | 可 国 网关 | 癌 
Filter: 4 ‘~ Expression... Clear Apply 


No. Time Source Destination Protocol Info 
10.000000 10.0.10.2 : 10.0.10.1 NTP NTP client Wi 


bess | 








mFrame 1: 90 bytes on wire (720 bits), 90 bytes captured (720 bits) | 
aEthernet II，Src: HuaweiTe c3:44:1a (00:e0:fc:c3:44:1a), Dst: HuaweiTe_a6:10:1b 
1 Tnternet protocol, Spe F002 00 10,2) Dsts 10/0. 430. (10.0:3071) 


站 we Datagram protoco], Sre port: ntp (123), Dst Port: ntp (123) 
ob Network Time Protocol | | 
Flags: Oxdb 
1 Peer Clock Stratum: unspecified or unavailable (0) | 
Peer Polling Interval: 6 (64 sec) 
\ Peer Clock Precision: 0.000004 sec | 
| Root Delay: 0.0000 sec 
“Root Dispersion: 0.0000 sec 
Reference Clock ID: NULL 
Reference Clock Update Time: NULL 
Originate Time Stamp: NULL 
Receive Time Stanmp: NULL 
Transmit Time Stamp: A 14 2017 20:37 :3.725245 UTC 







0000 60 .e0 Fe a6. 10 1b -00.80 fe e344 1a 08 00 A5 :0 dv sii aa :yu Xe| 
0010 00 4c 00 05 00 00 ff 11 92 d9 0a 00 0a 02 0a 00 人 区 
0020 0Oa 01 00 zb 00 7b 00 38 09 83 db 00 06 ee 00 00 :和 - 
0030 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 


@ Rediy to load or capture | packets: 185 Displayed: 185 Marked: "i | |profile: Defaut , 


图 11-13 AR2 (NTP 客户 端 ) 发 出 第 1 个 消息 





由 于 在 单 播客 户 端 一 服务 器 模式 中 ，NTP 服务 器 端 无 需 配 置 与 NTP 客户 端 相 关 的 任 
何 信息 ， 从 图 11-13 中 我 们 也 可 以 看 出 , 第 1 个 NTP 报 文 是 由 AR2 (NTP 客户 端 ) 发 出 的 。 
我 们 注意 到 这 个 数据 包 中 AR2 的 Peer Clock Stratum〈 对 等 体 时 钟 分 层 值 ) 标记 为 0， 
表示 未 定义 或 不 可 用 ;Reference Clock ID 为 空 。 因 为 这 时 AR2 (CNTP 客户 端 ) 只 知道 
NTP 服务 器 的 IP 地 址 (管理 员 配 置 的 ) ， 但 它 还 没有 与 NTP 服务 器 实现 通信 ， 仍 然 在 使 
用 自己 的 本 地 时 钟 。 

图 11-14 展示 的 是 从 AR1 (NTP 服务 器 ) 发 往 AR2 (NTP 客户 端 ) 的 消息 ， 从 中 我 们 


可 以 看 出 AR1 的 Peer Clock Stratum (对 等 体 时 钟 分 层 值 ) 为 2，Reference Clock ID 
(参考 时 钟 ID) 为 202. 108. 0. 2。 


站 
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加 Capturing from Standard input - Wireshark -已 区 祷 
File Edit View Go Capture Analyze Statistics Telephony Tools Help 
本 计 届 人 鹿 | 本 国光 作品 | 人 中 号 宇和 | 图 图 QQQ 四 入 加 加 甘 | 加 


Filter: ~ Expression.. Clear Apply 


No. | ee Ee Protocol Iinfo 







ENP MI Ela Fe = 
MTP NTP server 





FFrame 2: 90 pe on Fe (720 bits), 90 bytes captured (720 bits) 
mn Ethernet IT, Src: HuaweiTe _a6:10:1b (00:e0:fc:a6:10:1b), Dst: HuaweiTe_c3:44:1a 
fnternet protoco], SFeE OO (10:05.1051) Dst 30520210.2 (10.0710.2) 
m User Datagram Protocol，Src Port: ntp (123)., Dst Port: ntp (123) 
a Network Time Protocol 
Flags: Oxlc 
Peer Clock stratum: secondary reference (2) 
Peer Polling Interval: 6 (64 sec) 
Peer Clock Precision: 0.000015 sec 
Root Delay: 0.2068 sec 
Root Dispersion: 0.0044 sec 
Reference Clock ID: 202.108.0.2 
Reference Clock Update Time: Apr 15, 2017 04:16:55.996544 UTC 
Originate Time Stamp: Apr 14, 2017 20:17:13.725245 UTC 
Receive Time Stamp: Apr 15, 2017 04:17:13.567008 UTC 
Transmit Time dit Apr 15, 2017 04:17:13. 367511 UTC 





OV a TA rt 
0000 00 e0 fc c3 44 1a 00 eo fc a6 10 1b 08 00 45 cO— TB ere a | 
0010 00 4c 00 1a 00 00 ff 11 92 c4 0a 00 0a 01 0a 00 ,LL...... ........ | 
0020 0a 02 00 7b 00 7b 00 38 60 8d 1c 02 06 f0 00 00 ...{.{.8 ‘....... 

0030 34 f1 00 00 01 21 ca 6¢ 00 02 dc 9c 1d 37 ff 1d 4....1.1 ..... Ls v 
© Ready re er | Packets: 185 Displayed: 185 Marke 中 个 Profile: Default 


图 11-14 AR1L (NTP 服务 器 ) 返回 消息 


国 Capturing from Standard input - Wireshark “一 :已 人 
File Edit View Go Capture Analyze Statistics Telephony Tools Help 

脱 抽 仙人 创 亲 | 英国 关公 上 台 | 全 四 沾 史 全 主 | 夺 图! QQQEB| 本 于 罗 条 | 网 
Fitter 四 | ~ Expression.. Clear Apply 


No. Time Source Destination et = 


i™ 








Fn ES 3 90 = on wire (720 bits), 90 bytes captured (720 bits) | 
sa Ethernet II, Sre: HuaweiTe_c3:44:1a (00:e0:fc:c3: 44:1a), bst: HuaweiTe_a6:10:1b 
a Internet Protocol, Sre: 10.0.10.2 (10.0.10.2), Dst: 10.0.10.1 (10.0.10.1) | 
nm User Datagram Protoco] Src port: htp (123), Dst port: ntp (123) -让 | 
9 Network Time protocol % Ie 
Flags: Ox1lb 》 

Peer Clock Stratum: secondary reference (3) - 

Peer Polling Interval: 6 (64 sec) : 

Peer Clock Precision: 0.000004 sec 于 

Root Delay: 0.0000 sec 

Root Dispersion: 0.0000 sec 

Reference Clock ID: 10.0.10.1 

Reference Clock Update Time: NULL 

originate Time Stamp 和 "NULL 

Receive Time Stamp: NULL 

Transmit Time Stamp: Apr 15，2017.12:17:13.686509 UTC 


Ws hr We 1 on Wo Ei Se 下 旺 el 3 > | 


0000 00 e0 fc a6 10 ib 00 e0 fc c3 44 a O08 00 M5 EO mi 了 gn 
0010 00 4c 00 06 00 00 ff 11 92 d8 0a 00 0a 02 0a 00 hf sh ee eRe ore 
0020 0a 01 00 7b 00 7b 00 38 78 a5 lb 03 06 ee 00 00 wa OR 
0030 00 00 00 00 00 01 0a 00 0a 01 00 00 00 00 90 00 ae v 


@Readytoloadorcapture |Packets:185 Displayed:185Marked:0 |Profile: Default 


图 11-15 AR2 (NTP 客户 端 ) 更 新 参考 时 钟 后 发 出 的 消息 








对 比 图 11-13 中 观察 到 的 两 个 字段 ,图 11-15 展示 出 当前 AR2 的 Peer Clock Stratum 
(对 等 体 时 钟 分 层 值 ) 为 3，Reference Clock ID (参考 时 钟 ID) 为 10. 0. 10. 1。 
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在 当前 的 环境 中 , 三 台 路 由 器 的 时 钟 都 是 同步 的 : AR1 问 ISP 路 由 响 进 行 同步 , AR2 
回 AR1 进行 同步 。 在 企业 网 络 规模 较 大 时 ， 管 理 员 还 可 以 使 用 其 他 工作 模式 的 NTP 配 
置 ， 比 如 广播 模式 。 对 其 他 工作 模式 的 配置 方法 感 兴趣 的 读者 ， 可 以 参考 华为 设备 的 
技术 文档 。 


11.3 ”eSight 的 基础 知识 


在 规模 越 大 的 企 事业 单位 、 学 校 、 组 织 机 构 的 局 域 网 环境 中 ， 网 络 管理 员 在 对 网 
络 设备 及 其 运行 状态 进行 维护 对， 就 越 有 可 能 面临 着 以 下 问题 。 首 先 ， 网 络 中 可 能 部 
加 了 不 同 厂商 的 网 络 设备 , 即使 部 署 时 厂商 或 集成 商 的 工程 师 能 够 上 门 安装 和 配置 设 
备 , 但 是 等 设备 上 线 并 开始 正常 提供 服务 后 , 管理 员 如 何在 没有 专业 工程 师 的 协助 下 
对 这 台 并 不 熟悉 的 设备 进行 维护 (比如 每 天 检查 它 的 运行 状态 )? 其 次 ， 网 络 规模 
越 大 ， 网 络 中 设备 的 数量 也 就 多 ， 通 过 命令 行 的 方式 登录 每 台 设备 检查 运行 状态 显 
然 是 不 现实 的 ， 那 么 如 何 能 够 通过 统一 的 管 钮 平台 ， 来 监管 局 域 网 中 的 所 有 网 络 设 
备 ? 最 后 ， 当 网 络 中 出 现 或 大 或 小 的 问题 时 ， 管 理 员 如 何 能 够 先 于 用 户 感知 到 问题 
的 发 生 ， 从 而 做 到 有 备 无 患 ?通过 部 署 华为 eSight 网 络 管理 产品 ， 可 以 帮助 管理 员 
打消 所 有 与 网 络 运 维 管理 相关 的 疑虑 和 顾虑 。eSight 的 几 大 特点 正好 对 应 了 这 几 个 
运 维 难题 。 

首先 ，eSight 可 以 通过 多 个 版 本 的 SNMP 协议 (包括 SNMPv1、SNMPv2c 和 SNMPv3 ) 
来 支持 不 同 厂商 的 网 络 设备 。 大 多 数 主 流 厂 商 的 网 络 设备 都 支持 基于 标准 的 MIB, eSight 
自 带 多 个 MIB 库 ， 包 括 标准 RFC1213-MIB、Entity-MIB、SNMPv2-MIB 和 IF-MIB， 这 些 都 
是 标准 MIB 库 ， 这 些 MIB 中 定义 了 多 种 管理 对 象 。 管 理 员 可 以 根据 需要 加 载 其 他 MIB 文 
件 ， 甚 至 目 行 编译 MIB 中 的 内 容 。 对 于 不 支持 标准 MIB 的 网 络 设 备 ，eSight 可 以 通过 打 
补丁 的 方式 提供 文 持 。 在 把 被 管理 网 络 设备 添 加 到 eSight 后 ， 管 理 员 可 以 通过 eSight 
提供 的 GUI (图 形 化 界面 ) 对 被 管理 的 网 络 设备 发 出 指令 ， 比 如 查看 接口 状态 和 流量 统 
计 信息 、 查 看 CUP/ 内 存 /风扇 的 运行 状态 。 管 理 员 无 需 了 解 如 何在 命令 行 中 检查 这 台 设 
备 的 运行 状态 ， 不 同 厂商 的 网 络 设备 都 可 以 通过 统一 的 GUI 界面 进行 管理 。 图 11-16 展 


示 了 使 用 eSight 查看 某 台 设备 接口 状态 的 截图 。 


在 支持 SNMP 的 同时 ，eSight 还 能 通过 Telnet/STelnet、FTP/SFTP/FTPS、TR069、 
华为 MML (Man-Machine Language) 、HTTPS 等 协议 来 提供 其 他 管理 功能 或 文 持 其 他 联网 
设备 。 比 如 ， 使 用 FTP 协议 进行 设备 配置 备份 、 使 用 TR069 协议 管理 IP 电话 、 使 用 华 
为 MML 协议 接收 无 线 基站 的 告警 信息 、 使 用 HTTPS 协议 获取 主机 和 服务 器 的 系统 状态 
信息 等 。 
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ceEER 首页 资源 ”拓扑 ”告警 性 能 ”报表 ”业务 服务 ”大 屏 ”系统 ”快速 入 门 


615 O25 O11 有 49 (24 506 admin [BB DD 总 2 


贸 ,as， 4 民 同步 | 何 语 用 个 红 用 禁止 上 扫 告 二 侈 复 上 报告 则 天 天 ,| 号 
CE5810-240.24 登 
CE5810-48T4S-EI 索引 
10.137.240.24 。 | 名 称 副科 运行 杖 态 管理 状态 了 总 地 让 逐 率 {bps) 反 寿 
可 看 1 NULLO up Pp 0 ‘ 
名 ”设备 配置 2 inLoopBack0 up p 127.001 0 > 
3 MEthO/0/0 down p 10M Fa 
进口 管理 
5 GEl1/O/1 down p 1000M 六 | 你 
IP 地 址 管理 6 GE1O0/2 down Dp i1000M i 
7 GE1/0, d 1000M -| 
配置 文件 Py i p 
8 GElO/4 dowr p 1000M # 
fy 
2 协议 参数 9 GEl/065 down Pp 1000M f 
所 设备 YLAN ~. GE1/0/6 down p i000M A Ek 
» GE10/7 down p 1000M 几 应 
». GE1/0/8 down P 1000M F 








图 11-16 通过 eSight 检查 网 络 设备 的 接口 状态 


其 次 ，eSight 能 够 同时 对 几 十 甚至 上 万 个 网 络 节点 ”进行 管理 ， 管 理 员 可 以 根据 自 
己 的 网 络 规模 选择 适合 的 eSight 版 本 : 精简 版 、 标 准 版 和 专业 版 。 比 如 对 于 小 型 网 络 来 
说 ， 管 理 员 可 以 选择 部 署 eSight 精简 版 ， 它 最 多 能 够 同时 管理 60 个 网 络 节点 。 对 于 超 
大 型 网 络 来 说 7 管理 员 可 以 选择 部 署 eSight 专业 版 , 它 最 多 能 够 同时 支持 20000 个 网 络 
节点 。 应 用 最 多 的 eSight 版 本 是 标准 版 ， 它 能 够 支持 最 多 5000 个 网 络 节点 。 所 有 版 本 
的 eSight 在 安装 后 都 有 90 天 的 试用 授权 (License) ， 除 此 之 外 华为 公司 还 提供 了 临时 
授权 (固定 期 限 ) 和 商用 授权 (永久) 。 授 权 文 件 是 用 来 激活 eSight 的 ， 除 了 试用 授权 
是 安装 后 默认 提供 之 外 ， 临 时 授权 和 商用 授权 的 获取 和 加 载 行为 都 需要 由 管理 员 负 责 。 
11-17 展示 了 eSight 部 署 在 网 络 中 的 示意 ， 管 理 员 可 以 在 企业 总 部 部 署 eSight， 同 
时 管理 多 个 城市 站 点 的 网 络 设备 。 

最 后 ，eSight 会 把 告警 严重 程度 从 高 到 低 分 为 多 个 级 别 : 紧急 、 重 要 、 次 要 、 提 示 ， 
并 且 能 够 通过 多 种 方式 把 网 络 中 的 异常 信息 告知 管理 员 :*GUIT 界面 显示 、 电 子 邮件 、 短 
信 等 。 管理 员 可 以 设置 每 种 告警 信息 的 通知 方式 , 比如 紧急 级 别 的 告警 不 仅 要 显示 在 GUI 
界面 上 ， 还 要 在 提示 时 发 出 特定 沪 响 。 管 理 员 还 可 以 设置 以 电子 邮件 和 短信 方式 通知 千 
警 信息 的 时 间 段 , 比如 管理 员 可 以 要 求 eSight 在 非 工作 时 间 段 内 , 发 现 紧急 级 别 的 告警 
后 向 指定 的 手机 号 码 发 送 短信 。 这 样 可 以 让 管理 员 在 第 一 时 间 了 解 网 络 中 发 生 的 紧急 事 
件 并 及 时 处 理 。 图 11-18 展示 了 eSight 告警 界面 中 的 告警 信息 。 


”网 络 节点 指 的 是 各 类 连接 在 网 络 中 的 设备 ， 其 中 包 插 路由器、 交换机、 无 线 AP、 刀 片 服务 器 、IP 电话 等 。 在 计 
算 eSight 能 够 支持 的 节点 数量 时 ， 并 不 是 每 一 台 网 络 设备 就 算是 一 个 节点 。 具 体 的 算法 本 书 不 多 做 解释 ， 感 兴 
趣 的 读者 可 以 在 华为 官方 网 站 查询 eSight 的 管理 容量 技术 指标 。 
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一 一 一 一 一 被 管理 设备 向 eSight 发 送 消息 





图 11-17 使 用 eSight 实现 统一 管理 示意 
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图 11-18 在 eSight GUI 界面 上 实时 查看 告警 信息 
eSight 通过 多 种 协议 能 够 为 不 同 厂商 的 各 种 网 络 设备 提供 文 持 , 最 多 能 够 同时 文 持 
20000 个 网 络 节点 ， 还 能 够 以 多 种 方式 向 管理 员 告 知 告警 信息 。 除 此 之 外 ，eSight 还 是 
建立 在 浏览 器 一 服务 器 架构 (简称 B/S 架构 ) 上 的 一 款 产 品 。 管 理 员 只 需 通 过 浏览 器 来 
访问 eSight 的 GUI 管理 界面 ， 这 一 点 从 前 文中 的 eSight 截图 应 该 就 能 得 到 证 实 。 管 理 
员 若 在 下 班 后 接收 到 eSight 发 送 的 紧急 告警 短信 ， 可 以 从 自己 家 中 通过 浏览 器 访问 
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e9ight。 当 然 了 ， 要 想 通 过 公 网 访问 内 网 服务 器 ， 管 理 员 还 需要 事先 做 一 些 部 署 ， 比 如 
搭建 VPN 环境 ， 让 管理 员 能 够 在 家 中 与 企业 网 之 间 建 立 VPN 连接 ， 以 这 种 方式 获得 企业 
内 网 的 访问 资格 从 而 访问 eSight。 

下 面 我 们 从 另 一 个 方面 来 考虑 与 eSight 相关 的 网 络 安 全 性 ， 在 本 书 第 9 章 网 络 安 
全 技术 中 我 们 介绍 过 如 何 对 访问 网 络 设备 的 人 员 进 行 映 份 认 证 和 管理 级 别 的 授权 ， 
eSight 也 提供 了 相同 的 功能 。 管 理 员 可 以 在 eSight 中 设置 多 个 用 户 并 为 每 个 用 户 关联 
一 个 或 多 个 角色 , 每 个 角色 中 需要 包含 管理 对 象 和 操作 权限 。 通 过 这 种 峙 套 授权 的 方式 ， 
每 个 用 户 也 就 拥有 了 特定 的 操作 权限 和 管理 对 象 。 图 11-19 展示 了 eSight 用 户 管理 界面 
的 截图 。 
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图 11-19 eSight 用 户 管理 界面 的 截图 

越 大 规模 的 局 域 网 ， 越 依赖 网 管 系统 的 帮助 ， 网 管 系 统 目 身 的 故障 会 使 管理 员 失 去 
对 网 络 的 掌控 。eSight 为 了 提高 自身 的 可 靠 性 ， 提 供 了 让 程 异常 自动 重启 和 数据 备份 恢 
复 功能 。 当 eSight 自身 的 系统 进程 异常 终止 时 , 它 会 自动 重启 系统 , 确保 在 无 人 值守 时 
也 能 快速 日 我 修复 ， 提 供 不 则 几 的 网 络 监控 服务 。 网 络 设备 的 管理 和 维护 中 的 一 项 重要 
工作 是 进行 数据 备份 ，eSight 也 不 例外 。. 管理 员 可 以 设置 让 eSight 进行 周期 性 备份， 
当 eSight 出 现 故 障 后 ， 管 理 员 可 以 手动 加 载 曾经 备份 的 数据 。 图 11-20 展示 了 eSight 
周期 性 备份 数据 的 设置 截图 (这 个 功能 在 eSight 中 叫 作 数据 转 储 )。 

面 对 界 面 友好 的 GUI 产品 ， 有 时 亲自 动手 要 比 查 看 技术 文档 效率 高 。 在 11. 3 节 的 最 
后 我 们 介绍 一 种 能 够 让 读者 实际 体验 eSight 的 方式 : 华为 官方 网 站 中 提供 了 eSight 远程 
demo (演示 ) 的 链接 , 通过 点 击 这 个 链接 读者 就 可 以 对 eSight 进行 实际 操作 。 提 供 了 eSight 
远程 demo 链接 的 网 址 为 http://e. huawei. com/cn/products/software/mgmt-sys/esight, 
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图 11-21 展示 了 这 个 页 面 。 





和 提示 : 


1 获 拓 竺 储 芋 统 不 再 宇 军 使 用 的 效 插 移 汉 一 个 单 寺 的 下 征 设 备 宋 进行 长 沽 保 开 的 过 年 
2. 芝 抬 尘 续 过 可 以 为 数 拓 这 节 知 总 基 沁 下 种 的 字 间 .又 可 以 提高 所 妨 的 性 竺 ， 矶 互 一 王 持 统计 现 问 旷 委 雪人 恢复， 窑 只 专 要 从 这 些 归 入 的 息 拓 作 


| 3. 数据 次 复 时 ， 原 歼 振 必 讽 位于 网 营 服 务 锯 友 盘 上 有 必须 是 5Qt 宪 式 文 件 ， 如 果 茜 数据 在 其 它 饰 介 上 ( 如 FTP 服 务 症 】, 则 要 先 从 其 它 罕 作 
仇 软 啤 件 日 江 设 置 


数 二 转调 
以 炬 训 日 志 问 因 
过 二 天: Mi B 直 MI Mj 设 芭 本 

系统 告 仪 设置 

每 2 天 ,vv 

想到 
羡 储 宇 介 : MM 坟 天 无 去 条? 到 过 条 和 清 选 笃 YY -a 
所 ， 
六 l Pn 
全 四 大 下 全 ] 归 和 补 
有 
5 


图 11-20 设 1 置 oSight 进行 司 期 性 备份 
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eSight ICT 管 理 系统 
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图 11-21 点击“ 远程 demo， 立 即 人 体验” 展开 eSight 之 旅 


11. 3 节 只 对 eSight 做 了 一 些 概述 性 介绍 ， 揪 绘 了 ee 网 络 环境 中 的 位 置 和 作用 ， 结 
合 eSight to 点 ， 展 示 了 基本 的 6UI 操作 截图 ， 让 读者 对 于 eSight 有 一 个 感性 的 
认识 。 最 后 提供 了 远程 demo 链接 , 对 此 感 兴趣 的 读者 可 以 近 距 离 体 验 eSight 的 丰富 功能 。 


11.4 本章 总 结 
在 与 网 络 相 关 的 工作 中 ， 实施 以 及 维护 工作 同等 重要 ， 本 章 主 要 关注 与 网 络 
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维护 管理 相关 的 协议 和 应 用 。 在 规模 越 大 的 网 络 中 , 管理 设备 维护 的 难度 也 就 越 大 , SNMP 
协议 为 管理 员 提 供 了 集中 化 管理 网 络 设备 的 途径 。 本 章 先 通过 11. 1.1 节 (SNMP 协议 概 
述 ) 介绍 了 SNMP 协议 本 身 的 基本 概念 ， 包 括 NMS 与 SNMP 代理 进行 通信 ，SNMP 代理 通过 
在 MIB 中 读 取 和 写 入 0ID 所 对 应 的 参数 来 实现 NMS 发 出 的 指令 。 接 痢 在 11. 1.2 市 (SNMP 
版 本 对 比 ) 中 对 比 了 多 个 SNMP 版 本 , 希望 读者 能 够 根据 这 一 小 节 介绍 的 内 容 ， 自 己 填写 
一 张 SNMP 各 个 版 本 的 对 比 表格 ,一 方面 能 够 检验 自己 对 这 些 内 容 的 理解 水 平 ， 另 一 方面 
也 方便 以 后 快速 回顾 关于 SNMP 技术 的 主要 内 容 。 在 SNMP 的 11. 1. 3 节 (SNMP 的 配置 ) 
中 我 们 不 仅 展示 了 如 何在 华为 路 由 器 中 设置 SNMP 代理 ， 还 介绍 了 构成 SNMP 系统 的 重要 
组 成 部 分 MIB 的 结构 。 

11. 2 节 重 点 在 于 NTP 协议 。 在 网 络 运行 管理 的 过 程 中 , 所 有 网 络 设备 的 时 钟 同 步 是 
至 关 重 要 的 。 网 络 设备 执行 周期 性 备份 、 用 户 上 网 行为 计 费 、Trap 消息 中 的 时 间 信 息 ， 
这 些 行为 和 信息 只 有 当 网 络 设备 的 时 钟 是 同步 的 情况 下 ,才能 为 管理 员 的 工作 带 来 助 益 。 
要 想 让 网 络 中 的 所 有 网 络 设备 的 时 钟 进行 同步 ， 管 理 员 可 以 使 用 NTP 协议 来 让 网 络 设备 
自动 进行 时 钟 同步 。 本 章 介 绍 了 NTP 协议 的 原理 和 配置 ， 作 为 一 种 简单 又 必要 的 网 络 协 
议 ， 管 理 员 需要 掌握 它 的 配置 方法 并 在 网 络 实施 阶段 进行 部 署 。 

在 本 章 的 11. 3 节 (eSight 的 基础 知识 ) 中 , 我 们 介绍 了 华为 eSight 网 络 管理 系统 。 
这 是 一 个 GUI〈 图 形 化 界面 ) 控制 平台 ， 在 功能 上 相当 丰富 ， 在 操作 上 易 雯 掌握。 本 章 
只 介绍 了 eSight 的 几 项 特点 , 并 给 出 eSight 远程 demo 链接 , 对 此 感 兴 趣 的 读 考 可 以 上 
手 体验 。 


“11.5 | 练习 题 
一 、 选 择 题 | 
1，SNMP 协议 在 工作 中 使 用 到 的 传输 层 协议 和 端口 号 分 别 为 ? (  ”) 
A，UDP 协议 ， 端 口号 123 B。TCP 协议 ， 端 口号 123 
C. UDP 协议 ， 端 口号 161 和 162 D. TCP 协议 ， 端 口号 161 和 162 
2， 以 下 哪 一 项 不 是 SNMPv1 黎 报 文 类 型 ? (  ) 
A. GetRequest B. SetRequest 
C. GetNext D. Report 
E. Response 
3. 以 下 哪些 SNMP 消息 是 由 NMS 发 送 给 SNMP 代理 的 ? (多 选 )(  ) 
A. GetRequest B. SetRequest C. GetNext 
D. Trap E. Response 


== 0 — 
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. 在 使 用 SNMPv3 时 , 管理 员 可 以 在 安全 性 方面 选择 以 下 哪些 规则 ? 〈 多 选 ) ) 
.对 通信 过 程 不 认证 也 不 加 密 

.对 通信 过 程 认 证 但 不 加 密 

.对 通信 过 程 认 证 且 加 密 


使 用 community 对 访问 进行 授权 


.NTP 协议 在 工作 中 使 用 到 的 传输 层 协议 和 端口 号 分 别 为 ? ( ) 


UDP 协议 ， 端 口号 123 


. TCP 协议 ， 端 口号 123 - 志 

. UDP 协议 ， 端 口号 161 和 162 

.TCP 协议 ， 端 口号 161 称 162 

， 在 使 用 单 播客 户 端 一 服务 器 模式 的 NTP 时， 以 下 说 法 中 正确 的 是 ? (多 选 ) C( ”) 
. 客户 端 与 服务 器 之 间 都 需要 预先 知道 对 方 的 IP 地 址 


只 有 客户 到 能 够 问 服 务 器 进行 同步 ， 服 务 器 不 会 因 客户 端 而 更 改 自 己 的 时 钟 信息 


如 下 网 络 中 的 NTP 服务 器 离线 了 ， 层 绿 较 低 〈 比 如 3 级 ) 的 客户 端 会 向 层级 较 


(比如 2 级》 的 客户 端 进行 同步 


D. 一 台 网 络 设备 可 以 同时 作为 NTP 服务 器 和 NTP 客户 端 

7. 要 想 让 一 台 华为 路 由 器 充当 NTP 服务 器 ， 需 要 配置 以 下 哪 条 命令 ? (  ) 
A. clock datetime 21:13:14 2017-05-20 

B. 
C 
D 


ntp-Service unicast-server 202. 108. 0. 2 


. ntp-service refclock-master 2 


. 无需 配置 任何 命令 


判断 题 


1， 在 使 用 SNMP 协议 对 设备 进行 管理 时 ，NMS 和 SNMP 代理 之 间 只 要 IP 可 达 就 可 以 
实现 通信 。 


2. 
3. 
一 通信 、 


eSight 能 够 通过 SNMP、STelnet、FTP、HTTPS 等 多 种 协议 对 网 络 设备 进行 管理 。 
eSight 能 够 支持 服务 器 、 存 储 、 虚 拟 化 、 交 换 机 、 路 由 器 、WLAN、 防 火 墙 、 统 
视频 监控 、 应 用 系统 等 的 统一 管理 ， 其 中 包括 第 三 方 设 备 。 
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第 1 章 企业 网 概述 
企业 网 :企业 为 实现 数字 化 而 搭建 的 数据 通信 网 络 。 \ 


企业 网 分 层 模型 :一 种 分 层 的 企业 网 设计 模型 ， 可 以 避免 平面 设计 模型 存在 的 大 量 
问题 。 一 般 分 为 接 入 层 、 汇 聚 层 和 核心 层 三 层 。 

核心 层 〈Core Layer) : 企业 网 分 层 模型 中 的 最 高 层 ， 使 用 高 性 能 的 核心 层 交 换 机 
给 整个 网 络 为 流量 提供 高 速 而 可 靠 的 转发 。| 

汇聚 层 (Aggregation Layer) : 也 称 为 分 布 层 (Distribution Layer) ， 是 企业 
网 分 层 模 型 的 中 间 层 ， 这 一 层 负责 将 接 入 层 各 个 交换 机 发 来 的 流量 进行 汇聚 ， 并 通过 流 
量 控制 策略 ， 对 园区 网 中 的 流量 转发 进行 优化 。 在 规模 不 大 的 企业 网 中 ， 这 一 层 在 设计 
时 可 以 与 接 入 层 合并 。 

接 入 层 (Access Layer) : 企业 网 分 层 模型 中 的 最 低层 ， 这 一 层 往往 会 部 署 那 种 端 
口 密 度 很 大 的 低 端 二 层 交 换 机 ， 用 以 将 企业 网 的 大 量 终端 设备 连接 到 企业 网 当中 。 

物 联网 (Internet of Things，IoT): 通过 内 置 电 子 忌 片 的 方式 ， 将 各 类 物理 设备 
连接 到 网 络 中 ， 以 实现 多 元 设备 间 信 息 交 互 的 网 络 发 展 趋势 。 

SDN (Software Defined Network): 指控 制 平面 和 数据 平面 分 离 ， 并 通过 提升 网 络 
编程 能 力 使 网 络 管理 方式 得 以 优化 的 技术 理念 。 

云 计 算 〈Cloud Computing): 通过 互联 网 为 计算 机 和 其 他 设备 提供 处 理 资源 共享 的 
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BFD (Bidirectional Forwarding Detection): 一 种 轻 量 级 的 故障 检测 机 制 ， 可 以 
给 网 络 提 供 统 一 的 故障 检测 机 制 ， 也 可 以 给 不 具备 故障 检测 功能 的 机 制 提供 相应 机 制 。 

VRRP 《Virtual Router Redundancy Protocol): 一 种 第 一 跳 见 余 协 议 (First Hop 
Redundancy Protoco1，FHRP)， 这 项 技术 可 以 通过 虚拟 化 手段 让 两 全 路 由 堆 《〈 的 接口 ) 
作为 一 台 网 关 设备 对 网 络 中 的 设备 提供 转发 。 当 其 中 一 攻 设备 (的 接口 / 链 路 ) 出 现 故 障 
时 ， 另 一 台 设 备 〈 的 接口 / 链 路 ) 可 以 继续 提供 转发 服务 。 

VRRP 组 (VRRP Group ): 管 塑 员 为 了 让 同一 个 局 域 网 中 的 一 组 VRRP 路 由 需 接 口 共同 
为 这 个 局 域 网 的 终端 执行 转发 ， 而 将 这 些 VRRP 接口 划分 进去 的 逻辑 组 。 

虚拟 IP 地 址 (Virtual IP Address): VRRP 组 中 多 个 接口 共同 用 来 对 外 提供 转发 服 
务 时 使 用 的 IP 地 址 。 

虚拟 MAC 地 址 (Virtual MAC Address): VRRP 组 中 多 个 接口 共同 用 来 对 外 提供 转发 
服务 时 使 用 的 MAC 地 址 。 

IP 地 址 拥有 者 (IP Address 0wner): 实际 上 使 用 虚拟 IP 地 址 作为 通信 IP 地 址 的 
那 台 VRRP 设备 。 

链 路 聚合 〈Link Aggregation): 一 类 用 于 捆绑 交换 机 之 间 的 平行 链 路 的 机 制 。 这 
类 机 制 可 以 避免 生成 树 阻 塞 可 用 链 路 端口 ， 从 而 达到 提升 交换 机 间 链 路 带宽 和 可 用 性 ， 
提供 元 余 的 目的 。 

LACP (Link Aggregation Control Protocol) 模式 : 一 种 在 两 台 希 望 建立 链 路 聚 
合 的 设备 之 间 动 态 协商 和 维护 这 条 链 路 的 操作 模式 。LACP 定义 了 交换 机 之 间 协 商 和 维护 
链 路 聚合 的 标准 。 


第 3 曹 访问 控制 列表 


ACL (Access Control List): 访问 控制 列表 ， 是 管理 员 用 来 对 网 络 流量 的 访问 行 
为 进行 控制 的 工具 。 

QoS (Quality of Service): 服务 质量 ， 针 对 流量 的 不 同类 型 ， 给 予 不 同 处 理 行 为 
的 工具 ， 可 以 与 ACL 结合 使 用 。 

入 向 ACL: 当 网 络 设 备 接 收 到 一 个 数据 包 时 ， 它 会 使 用 接收 接口 上 应 用 的 入 向 ACL 
来 对 这 个 数据 包 进 行 控 制 ， 可 以 允许 数据 包 进 入 下 一 个 处 理 环节 ， 也 可 以 丢弃 数据 包 。 

出 向 ACL: 当 网 络 设备 即将 转发 一 个 数据 包 时 , 它 会 使 用 发 送 接口 上 应 用 的 出 向 ACL 
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来 对 这 个 数据 包 进 行 控制 ， 可 以 允许 正常 转发 这 个 数据 包 ， 也 可 以 丢弃 数据 包 。 

允许 行为 : ACL 中 的 行为 选项 之 一 ， 与 其 下 配 的 数据 包 可 以 继续 执行 下 一 步 处 理 。 

拒绝 行为 : ACL 中 的 行为 选项 之 一 ，( 在 流 控 制 /简化 流 控制 应 用 模块 中 ) 与 其 匹配 
的 数据 包 会 被 网 络 设备 丢弃 。 

通配符 掩 码 : 用 来 明确 指出 IP 地 址 中 必须 匹配 的 部 分 ， 由 二 进 制 0 和 1 构成 ，0 表 
示 必 须 与 IP 地 址 中 的 对 应 取 值 相 匹 配 ，1 表示 无 需 匹 配 ， 也 称 为 不 关心 位 。 

基本 IP ACL: 只 能 在 匹配 规则 中 设置 源 IP 地 址 、 分 片 信息 和 生效 时 间 的 一 种 应 用 
简单 的 ACL。 

高 级 IP ACL: 能 够 在 匹配 规则 中 设置 源 和 目的 IP 地 址 、IP 协议 类 型 、TCPVUDP 源 
和 目的 端口 号 (端口 号 范围 )、 分 片 信息 和 生效 时 间 等 参数 的 一 种 应 用 多 样 的 ACL。 


第 4 章 ”网 络 地 址 转换 


NAT (Network Address Translation): 网 络 地 址 转换 ， 把 一 个 IP 地 址 转换 为 另 一 
个 IP 地 址 的 技术 。 最 为 常见 的 应 用 场景 是 在 私有 IP 地 址 和 公共 IP 地 址 之 间 执 行 转换 。 

ISP 《Internet Service Provider): 网 络 服务 提供 商 / 运 营 商 ， 负 责 为 客户 提供 
Internet 接 入 服务 的 企业 。 本 书 在 描述 连接 到 Internet 的 场景 时 ， 有 时 会 描述 为 连接 
TSP。 

私有 IP 地 址 : 只 能 在 局 域 网 中 实现 路 由 ， 无 法 在 Internet 上 进行 路 由 的 IP 地 址 。 
符合 RFC 1918 定义 的 IP 地 址 范围 : 10. 0. 0. 0/8、172. 16. 0. 0/12 和 192. 168. 0. 0/16。 

共有 IP 地 址 : 能 够 在 Internet ER 的 IP 地 址 。 组 织 机 构 和 个 人 如 需 
使 用 这 类 IP 地 址 ， 需 要 向 ISP 申请 租用 。 

基本 NAT: 可 以 实现 一 对 一 的 IP 地 址 转换 。 当 内 网 中 壳 要 访 问 Internet 的 主机 数 
量 小 于 等 于 企业 获得 的 共有 IP 地 址 数量 ， 就 可 以 使 用 基本 NAT 来 实现 内 网 主机 访问 
Internet 的 需求 。 吕 

NAPT (Network Address Port Translation): 可 以 实现 多 对 一 的 IP 地 址 转换 。NAPT 
在 IP 地 址 转换 关系 中 加 入 了 端口 仇 个 元 素 ， 实 现 了 多 对 一 的 转换 。 

静态 NAT/NAPT: 华为 网 络 设 备 中 支持 的 NAT 类 型 ， 管 理 员 可 以 通过 手动 指定 静态 
NAT/NAPT， 实 现 IP 地 址 一 对 一 (静态 NAT) 或 多 对 一 /多 对 多 (静态 NAPT) 的 转换 。 

Easy IP: 华为 网 络 设备 中 文 持 的 NAT 类 型 ， 在 通过 路 由 器 进行 拨号 上 网 的 环境 中 ， 
管理 员 可 以 通过 部 车 Easy IP， 使 所 有 内 网 用 户 都 通过 ISP 分 配 的 同一 个 公 网 IP 地 址 访 
问 Internet。 


NAT 服务 器 : 华为 网 络 设备 中 文 持 的 NAT 类 型 ， 能 够 通过 绑 定 内 网 服务 器 私有 IP 地 
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上 与 共有 IP 地 址 的 映射 关系 ， 使 公 网 用 户主 动 加 内 网 中 的 服务 孝 发 起 访问 连接 。 


第 5 章 广域网 


HDLC (High-Level Data Link Control): 高 级 数据 链 路 控制 ， 是 国际 标准 化 组 织 
在 SDLC 协议 的 基础 上 开发 出 来 的 通信 协议 。 根 据 原 本 的 定义 ，HDLC 既 可 以 用 于 点 到 多 
点 链 路 ， 也 可 以 用 于 点 到 点 连接 。 不 过 在 实际 使 用 中 ，HDLC 只 用 于 点 到 点 连接 。 

PPP (Point-to-Point): 在 SLIP 协议 的 基础 上 弄 发 出 来 的 通信 协议 ， 可 以 用 于 不 
同 的 链 路 和 接口 ， 为 路 由 设 eR RI SO 

NCP (Network Control Peotocol): 网 络 控 制 协议 ， 是 PPP 上 层 协 议 的 总 称 ， 负 责 
为 上 层 协议 协商 和 配置 参数 。 用 来 为 IPv4 协议 提供 服务 的 IPCP 协议 , 用 来 为 IPv6 协议 
提供 服务 的 IPV6CP 等 ， 都 属于 NCP 协议 。 

LCP (Link Control Protocol): 链 路 控制 协议 ， 是 PPP 的 下 层 协 议 ， 用 于 发 起 连 
接 和 终止 连接 ， 通 过 协商 的 方式 对 接口 进行 自动 配置 ， 执 行 身份 认证 等 等 。。 

PAP (Password Authentication Protocol): 密码 认证 协议 ， 这 是 一 种 简单 的 明文 
密码 认证 协议 。 当 认证 方 提 出 认证 时 ， 被 认证 方 用 预 共享 的 用 户 名 和 密码 作出 响应 ， 认 
证 方 根据 被 认证 方 提供 的 用 户 名 和 密码 是 否 与 目 己 配置 的 用 户 名 和 密码 相 一 致 ， 来 判断 
是 接受 还 是 拒绝 。 

CHAP (Challenge-Handshake Authentication Protocol) : 挑战 握手 认证 协议 。 
认证 双方 各 目 使 用 随机 参数 与 预 共享 密 钥 计 算 艇 列 值 ， 再 通过 比 对 目 己 接收 到 的 散 列 值 
与 目 己 计算 出 的 散 列 值 是 否 相 同 ， 来 判断 双方 预 配置 的 用 户 名 与 密码 是 否 一 致 。 

PPPoE (PPP over Ethernet) : 为 在 以 太 网 环境 中 提供 一 些 PPP 协议 的 服务 (如 认 
证 、 计 费 等 ) 而 定义 的 通信 标准 。 


第 6 章 DHCP 


DHCP (Dynamic Host Configuration Protocol): 动态 主机 配置 协议 ， 服 务 器 通过 
这 项 协议 回 连接 到 网 络 中 的 客户 端 提 供 包 括 IP 地 址 在 内 的 配置 数据 。 

DHCP 客户 端 ， 通过 DHCP 协议 请 求 配置 参数 的 设备 。 

DHCP 服务 器 : 通过 DHCP 协议 向 DHCP 客户 端 提供 配置 参数 的 设备 。 

DHCP 中 继 代理 : 当 DHCP 客户 并 与 DHCP 服务 器 不 处 于 同一 个 子 网 中 时 ， 为 DHCP 客 
性病 与 DHCP 服务 器 之 间 中 转 消息 的 DHCP 设备 。 

DHCP 发 现 (DISCOVER) 消息 : DHCP 客户 端 用 来 在 网 络 中 发 现 DHCP 服务 器 的 消息 。 
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DHCP 提供 (OFFER) 消息 : DHCP 服务 占用 来 响应 DHCP 发 现 消息 ， 并 且 为 DHCP 客户 
疹 提 供 配置 参 数 的 消息 。 
DHCP 请 求 (REQUEST) 消息 : DHCP 客户 端 用 来 加 DHCP 服务 器 请 求 其 提供 的 配置 参 


数 的 消 居 。 
DHCP 确认 《ACK》 消息 : DHCP 服务 占用 来 确认 DHCP 客户 问 可 以 使 用 目 己 提供 的 配 
置 参数 的 消息 。 


租 期 : DHCP 服务 器 允许 DHCP 客户 疹 使 用 该 IP 地 址 的 时 长 。 


第 7 剖 IPv6 基础 


IPv6 地 址 : IETF 为 了 扩大 IP 地 址 衬 间 而 定义 的 新 版 IP 地 址 ， 地 址 长 度 达 128 位 。 
除 地 址 空间 增 大 之 外 ，IETF 在 其 目 动 配置 、 头 部 结构 、 移 动 性 等 方面 均 作 出 了 优化 。 

全 局 单 播 地 址 : 可 以 部 署 在 公共 网 络 环境 中 的 、 全 网 可 路 由 的 IPv6 地 址 。 全 局 单 
播 地 址 的 前 缀 为 2000: :/3。 

唯一 本 地 地 址 :可 以 由 各 个 组 织 机 构 根据 需要 自行 使 用 而 不 需要 向 地 址 分 配 机 构 申 
请 的 单 播 IPv6 地 址 。 唯 一 本 地 地 址 的 范围 就 是 部 署 该 地 址 的 私有 网 络 ， dn 
FC00: :/7。 

链 路 本 地 地 址 ， 在 链 路 本 地 有 效 的 地 址 。 在 启用 IPv6 时 ， 网 络 适配器 接口 就 会 自 
动 给 自己 配置 上 这 样 一 个 IPv6 地 址 。 链 路 本 地 地 址 的 前 级 为 FE80::/10。 

未 指定 地 址 : 128 位 地 址 全 部 取 0 的 i 位 前 级 地 址 。 根 据 简 化 规则 ， 未 指定 地 址 
Ee : /28 

回 地 址 : 环 回 地 址 是 前 127 位 全 部 取 0， 最 后 1 位 取 1 的 128 位 前 级 地 址 。 根 据 

i 环 回 地 址 写作 : :1/128。 这 种 地 址 标识 TI 点 自己 , 管理 员 不 能 给 网 
络 适 配器 接口 分 配 这 个 环 回 地 址 。 

任意 播 地 址 : IPv6 中 特有 的 地 址 类 型 ， 定 义 了 一 到 (one to nearest) 的 通信 
方式 。 当 网 络 中 多 个 网 络 适 配器 接口 上 配置 了 相同 的 任意 播 地 址 时 ， 发 送 方 会 将 以 这 个 
地 址 作为 月 的 地 二 的 数 沁 包 路 由 纺 《在 该 由 由 协 说 看 来 ; 距离 发 送 方 最 近 的 那个 配置 了 
该 任意 播 地 址 的 网 络 适配器 接口 。 

NDP (Neighbor Discovery Protocol): 邻居 发 现 协议 。 可 以 提供 与 IPv4 网 络 中 的 
地 址 解析 协议 CARP)、ICMP 路 由 器 发 现 和 ICMP 重 定向 相同 的 服务 ， 同 时 在 这 些 IPv4 协 
议 的 基础 上 提供 了 更 多 的 功能 ， 也 作出 了 大 量 的 改进 。 

请 求 节点 组 播 地 址 : 每 当 一 个 网 络 适 配器 接口 获得 了 一 个 单 播 或 任意 播 IPv6 地 址 
时 , 它 就 会 同时 监听 发 送 给 这 个 单 播 IPv6 地 址 对 应 的 请 求 节点 组 播 地 址 。 请求 节点 组 播 
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地 址 的 前 104 位 固定 为 FF02::1:FF, 后 24 位 则 直接 套用 被 请 求 节 点 单 播 IPv6 地 址 接口 
ID 的 后 24 位 。 

无 状态 地 址 自动 配置 : IPv6 协议 定义 的 一 种 不 依赖 任何 独立 的 服务 器 、 也 不 需要 专 
业 技 术 人 员 参 与 操作 的 IPv6 地 址 自动 配置 方式 
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RIPng (RIP Next Generation): 下 一 代 RIP， 是 拷 适用 于 IPv6 网 络 中 的 RIP 版 本 。 
0SPFv3 (OSPF Version 3): 0SPF 版 本 3， 是 指 适 用 于 IPv6 网 络 中 的 0SPF 版 本 。 


第 9 章 “网络 安全 技术 和 


AAA: 认证 (Authentication)、 授 权 (Authorization) 和 审计 (Accounting) 三 
项 安全 功能 的 总 称 。 | 

认证 : 通过 用 户 提 供 的 用 户 名 、 密 码 等 信息 来 区 分 他 /她 是 否 有 权限 访问 (他 /她 正 
在 试图 访问 的 ) 资源 的 安全 措施 。 

授权 : 根据 用 户 的 用 户 名 来 区 分 他 /她 的 用 户 等 级 有 权限 执行 哪些 操作 的 安全 措施 。 

审计 : 审计 也 翻译 为 记 账 或 者 计 费 。 审计 功能 的 作用 是 记录 各 个 用 户 在 访问 期 间 所 
执行 的 操作 。 

RADIUS: 全 称 为 远程 认证 拨 入 用 户 服 务 (Remote Authentication Dial In User 
Service) ,是 一 项 通过 UDP 提供 传输 层 服 务 的 应 用 层 协议 。 被 访问 设备 可 以 使 用 RADIUS 
协议 与 AAA 服务 器 进行 通信 ， 判 断 访 问 用 户 的 权限 。 

IPSec: 一 个 旨 在 根据 使 用 者 的 需求 来 为 IP 流量 提供 各 类 安全 保护 的 协议 框架 。 这 
个 框架 中 包含 了 不 同 的 封装 协议 、 加 密 算 法 、 认 证 算法 等 可 供 使 用 者 根据 目 己 的 需求 与 
实际 情况 进行 选择 。 

IKE: 全 称 为 互联 网 密 钥 交 换 。 这 个 协议 定义 了 密 钥 生成 、 安 全 分 发 和 管理 的 标准 。 
目前 IKE 包含 两 个 版 本 ， 即 IKEv1 和 IKEVv2。 

主 模式 (Main Mode): IKEvl 阶段 1 中 的 一 种 模式 ， 通 信 双 方 在 这 种 模式 下 会 相互 
交换 6 个 消息 来 建立 IKE SA。 主 模式 可 以 在 协商 IKE SA 时 保护 设备 的 身份 信息 。 

野蛮 模式 (Agreesive Mode): IKEv1 阶段 1 中 的 一 种 模式 ， 通 信 双 方 在 这 种 模式 下 
会 相互 交换 3 个 消息 来 建立 IKE SA。 时 蛮 模式 不 会 在 协商 IKE SA 时 保护 设备 的 喘 份 
信息 。 

快速 模式 (Quick Mode): IKEv1 阶段 2 中 的 模式 。 通 信和 双方 在 这 种 模式 下 会 相互 交 
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换 3 个 消息 来 建立 IPSec SA。 
安全 关联 (Security Association): 特定 IPSec 设备 之 间 为 了 安全 通信 而 协商 出 
用 以 保护 某 些 流量 时 所 使 用 的 一 套 协议 、 模 式 、 算 法 等 标准 的 安全 策略 集合 。 
安全 关联 库 (SADB): 保存 IPSec 设备 本 地 各 个 SA 的 数据 库 。 
安全 策略 数据 库 (SPDB): 保存 各 个 SA 对 应 的 安全 策略 的 数据 库 。 
ESP (Encapsulation Security Protocol): 封装 安全 协议 。IPSec 框架 中 定义 的 安 
全 封装 协议 ， 可 以 为 数据 提供 机 密 性 、 完 整 性 、 认 证 和 反 重 放 攻击 保护 。 

AH (Authentication Header): 认证 头 部 。IPSec 框架 中 定义 的 安全 封装 协议 ， 只 
能 提供 完整 性 校 验 、 源 设备 认证 和 反 重 放 攻 击 保 护 , 但 不 会 对 自己 封装 的 数据 提供 加 密 。 
AH 目前 已 经 基本 不 再 使 用 。 

GRE (Generic Routing Encapsulation): 通用 路 由 封装 。 这 项 隧道 协议 可 以 将 一 
个 网 络 层 头 部 封装 在 另 一 个 网 络 层 头 部 中 进行 传输 ， 以 便 在 网 络 层 本 不 相 直 连 的 设备 之 
间 建 立 虚 拟 的 隧道 ， 让 这 两 台 实 现 迪 辑 层 面 的 网 络 层 直 连 。 

CIA 三 要 素 (CIA Triad): 包括 机 密 性 (Confidentiality)、 完 整 性 (Integrity) 
和 可 用 性 (Availability)。 是 信息 安全 的 核心 要 素 。- 

机 密 性 : 是 指 确保 信息 只 能 由 授权 者 进行 访问 的 属性 。 

完整 性 : 是 指 确保 信息 在 从 源 到 目的 的 传输 过 程 中 没有 遭 到 非法 修改 ， 或 者 接收 方 
能 够 发 现 信息 是 否 在 传输 过 程 中 遭 到 了 非法 修改 的 属性 。 : | 

可 用 性 : 是 指 确保 合法 用 户 在 需要 时 就 能 够 访问 到 所 需 信 息 的 属性 。 


来 
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电磁 波 : 电 〈 衔 运动 对 位 场 造 成 的 扰动 作用 。 

无 线 电 : 电磁 波 的 一 种 ， 波 长 在 1 毫米 到 100 千 米 之 间 (频率 在 3kHz 到 300GHz ) 
之 间 的 电磁 波 。 家 

频段 : 电磁 波 的 一 段 特 定 的 频率 范围 。 

802. 11: 电气 和 电子 工程 师 协 会 (IEEE〉LAN/MAN 标准 委员 会 (IEEE 802) 发 布 的 
无 线 网 络 标准 , 这 个 标准 后 来 出 现 了 大 量 的 变 体 , 均 由 IEEE 802 委员 会 进行 创建 和 维护 。 

CSMA/CA: 载波 侦 听 多 路 访问 /冲突 避免 ， 是 无 线 局 域 网 环境 中 采用 的 避免 信号 冲突 
的 机 制 。 考 虑 到 无 线 传输 的 特点 ， 这 种 机 制 没 有 采用 一 边 发 送 一 边 检测 的 方法 ， 也 很 少 
会 发 现 信道 空闲 就 立刻 准备 发 送 数据 帧 。 

DIFS: 分 布 协调 功能 帧 时 间 间 隔 。 这 段 时 长 是 为 了 协调 不 同 优先 级 数据 帧 的 发 送 顺 
序 ， 而 使 无 线 设备 在 发 送 数据 帧 之 前 等 待 的 一 段 时 长 。 如 果 其 他 无 线 客户 端 待 发 送 数据 
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帧 优先 级 高 ， 则 它 等 等 的 DIFS 会 比较 短 。 这 样 可 以 保证 高 优先 级 数据 帧 优先 得 到 发 送 。 

RTS/CTS 机 制 : 一 种 无 线 环境 中 采用 的 预约 发 送 机 制 ， 这 种 机 制 是 可 选 的 。 通 信 方 
会 在 正式 上 友 送 数据 帧 之 前 约定 数据 帧 的 发 送 时 长 。 

自 组 网 络 (Ad Hoc Network): 也 称 为 目 组 织 网 络 ， 作 为 无 线 局 域 网 拓扑 模式 时 ， 
叫 作 对 等 体 模式 (Peer Mode)。 这 类 无 线 网 络 中 没有 诸如 AP、 无 线路 由 器 这 样 被 人 们 部 
车 在 网 络 中 ， 专 司 为 其 他 无 线 设 备 服务 的 网 络 设备 。 网 络 设备 以 对 等 体 的 形式 两 两 建立 
无 线 通信 。 

基础 设施 模式 (Infrastructure Mode) : 无 线 电 域 网 拓扑 的 另 一 种 模式 ， 在 这 种 
网 络 中 ， 无 线 客户 端 通过 预先 被 人 们 部 普 来 为 客户 问 提 供 服 务 的 基础 设施 (如 AP、 无 线 
路 由 需 等 设备 ) 来 建立 通信 各 

BSS (Basic Service Set) : 基本 服务 集 。 指 在 基础 设施 模式 下 ， 由 一 个 AP 与 所 
有 与 其 相连 的 无 线 和 客户 冰 组 成 的 环境 。 

BSA (Basic Service Area) : 基本 服务 区 。 指 无 线 客户 冰 可 以 接收 到 BSS 中 AP 无 
线 信 号 的 范围 。 在 不 严谨 的 交流 环境 中 ， 第 与 BSS 替换 使 用 。 

BSSID: 一 个 BSS 的 标识 从 ， 多 为 该 BSS 的 AP 的 MAC 地址 。 

IBSS (Independent BSS) : 独立 基本 服务 集 。 指 对 等 体 模式 下 建立 起 来 的 目 组 网 
络 环境 。 

ESS KExtended Service Set) : 扩展 服务 集 。 指 通过 有 线 局 域 网 将 多 个 无 线 BSS 
连接 起 来 所 组 成 的 环境 。 

ESSID: 也 称 为 SSID, 即 整个 EBSS 的 标识 符 , 也 是 ESS 连接 的 所 有 BSS 的 共同 名 称 。 

WEP (Wired Equivalent Privacy) : 一 种 古老 的 、 使 用 RC4 计算 密码 流 对 通信 数 
据 乏 字 节 加 密 的 无 线 局 域 网 安全 机 制 . 因为 很 容易 通过 字典 攻击 破解 ， 目 前 不 建议 使 用 。 

WPA (Wi-Fi Protected Access) : 一 种 用 来 替代 WEP 的 过 渡 性 无 线 局 域 网 安全 机 
制 。WPA 在 很 大 程度 上 沿用 了 WEP 的 流程 与 算法 ， 但 在 私密 性 、 反 重 放 攻 击 和 完整 性 上 
都 对 WEP 作出 了 提升 。 

WPA2: 使 用 AES 算法 对 无 线 局 域 网 数据 执行 加 密 ， 同 时 使 用 CCMP 来 对 通信 数据 执 
行 完整 性 校 验 的 无 线 局 域 网 安全 机 制 。 目 前 是 无 线 局 域 网 环境 中 最 可 靠 的 安全 保护 机 制 |。 
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SNMP (Simple Network Management Protocol): 一 种 网 络 管理 协议 ， 它 定义 了 管 
理 设备 与 被 管理 设备 之 间 的 通信 标准 。 目 前 最 常用 的 版 本 为 SNMPv2c 和 SNMPv3。 
NMS (Network Management System): 指 网 络 管理 员 用 来 管理 网 络 设备 的 计算 机 。 
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SNMP 代理 : 被 种 理 设备 上 啊 应 和 处 理 SNMP 操作 的 进程 。 

GET 操作 : NMS 希望 从 被 管理 设备 那里 获取 信息 时 所 执行 的 SNMP 操作 。 

SET 操作 : NMS 和 希望 对 被 管理 设备 执行 配置 时 所 执行 的 SNMP 操作 。 

Trap: 被 管理 设备 的 代理 因 某 些 参数 到 达 了 管理 员 设 置 的 触发 条 件 ， 而 主动 向 NMS 
发 送 通告 的 SNMP 操作 。 

MIB (Management Information Base): 生理 信息 数据 库 。 保 人 存 管 理 对 象 名 称 、 当 
前 的 状态 、 可 以 访问 的 权限 等 信息 的 数据 库 。 

管理 对 象 : SNMP 可 以 监测 和 配置 的 各 个 参数 与 状态 。 

0ID: 一 串 表 示 管 理 对 象 在 MIB 中 位 置 的 数字 ， 相 当 于 管理 对 象 在 MIB 中 的 地 址 。 

NTP (Network Time Protocol): 网 络 时 间 协 议 ， 为 在 设备 之 间 动 态 同步 时 间 提 供 
了 标准 的 协议 。 

NTP 分 层 (Stratum): 标识 了 该 时 钟 源 的 时 间 信 息 与 主 时 间 服 务 器 之 间 ， 经 历 传递 
设备 的 多 少 。 

eSight: eSight 是 华为 公司 推出 的 网 络 管理 产品 ， 它 不 仅 可 以 支持 华为 公司 的 各 种 
联网 设备 ， 还 能 够 对 第 三 方 设备 提供 支持 。eSight 使 用 图 形 化 界面 进行 网 络 设备 管理 ， 
能 够 实现 全 网 统一 的 监控 和 维护 。 
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华为 (中国) 官方 网 站 : http://www. huawei. com/cn/ 

华为 信息 与 网 络 技术 学 院 官方 网 站 : Fe huaweiacad. com 

IEEE 802 标准 委员 会 网 站 : http://www. ieee802. org 

IANA 官方 网 站 : http://www. iana. org 

ICANN 官方 网 站 : https://www. icann. org 

ITU 官方 网 站 : http://www. itu. int 

ISO 官方 网 站 : https://www. iso. org 

IETF 官方 网 站 : http://www-ietf. org 

IETF 官方 网 站 RFC 文档 查询 链接 : https://www. rfc-editor. org/search/rfc 
search. php 

维基 百科 英文 : https://en.wikipedia. org 
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随 看 物 联 网 、 bie 大 数据 、 人 工 钻 能 等 新 技术 的 快速 兴起 ，ICT 下 
成 为 企业 的 核心 生产 力 并 推动 企业 加 速 向 数字 化 转型 。 企 业 导 + 工 副 会 型 
[CT 人才 更 是 求 贤 大 渔 。 华 为 致力 于 构建 民 性 的 ICT 人 才 4 
7 与 网 络 技术 学 院 (简称 华为 ICT 学 院 ) ， 通 过 校 企 合作 

会 复合 创新 、 es 成 长 的 融合 型 人 才 。 

Se ee I 版 目的 是 循序 淘 进 地 帮助 华为 ICT 学 院 的 学 生 掌 握 网 络 
技术 的 基本 上 原理 三 作法 使 其 在 面 对 真实 的 业务 场景 时 ， 能 够 独立 完 
成 小 型 网 络 的 搭建 、 维 护 及 故障 的 处 理 。 本 书 作 为 系列 教材 的 第 3 册 图 书 ， 
主要 内 容 为 实际 工作 中 较为 稍 见 的 技术 ， 每 一 章 均 为 一 个 相对 独立 的 主 
题 ， 希 望 进一步 帮助 读者 扩充 知识 面 。 
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